Infractiunile Informatice In Actualul Cod Penal
UNIVERSITATEA EUROPEANĂ "DRĂGAN" DIN LUGOJ
FACULTATEA DE DREPT
DOMENIUL: DREPT
PROGRAMUL DE STUDIU/SPECIALIZAREA: DREPT
LUCRARE DE LICENȚĂ
COORDONATOR ȘTIINȚIFIC:
LECTOR UNIV. DR. GHEORGHE PINTEALĂ
ABSOLVENT:
RIPAN ALEXANDRU DANIEL
2016
UNIVERSITATEA EUROPEANĂ "DRĂGAN" DIN LUGOJ
FACULTATEA DE DREPT
INFRACȚIUNILE INFORMATICE
ÎN ACTUALUL COD PENAL
COORDONATOR ȘTIINȚIFIC:
LECTOR UNIV. DR. GHEORGHE PINTEALĂ
ABSOLVENT:
RIPAN ALEXANDRU DANIEL
2016
Introducere
Dezvoltarea fără precedent a societății a condus la apariția unor noi tipuri de infracțiuni, îndreptate exclusiv împotriva sistemelor informatice sau care sunt săvârșite prin intermediul sistemelor informatice, precum pornografia infantilă. Aceste infracțiuni, cunoscute generic sub numele de infracțiuni informatice, reprezintă consecința dezvotării accelerate a tehnologiei precum și a reducerii gradului de dificultate necesar utilizării tehnologiei.
Interesul pentru acest domeniu a crescut, în ultima perioadă, în mod exponențial, dar, din păcăte, pregătirea și dotarea organelor competente să prevină și să pedepsească aceste nou tip de infracțiuni, are mari lacune. Este necesar un efort deosebit, nu atât în pregătirea, ci cât în dotarea autorităților competente cu echipament de ultima generație, necesar pentru a urmări activitatea infracțională din domeniul informatic. Magnitudinea acestui fenomen, al infracțiunilor informatice, nu este dovada intelectului superior al acestei generații, o mare parte din aceste infracțiuni presupun cunoștințe minime de informatică și de utilizare a calculatorului. Informațiile necesare pentru comiterea acestui tip de infracțiuni sunt la îndemâna tuturor, existând diverse site-uri, bloguri sau forumuri, unde persoanele interesate sunt instruite în vederea comiterii infracțiunilor informatice. Ca dovadă, mare parte din aceste infracțiuni constau în fraudarea platformelor de comerț online, prin postarea de anunțuri false. Cumpărătorul, de bună credință, plătește prețul înainte de livrarea produselor specificate în anunțul fals, infractorul însușindu-și suma de bani, fără a mai remite bunul. În cazul infracțiunilor mai complexe, practica judiciară a relevat faptul că este suficient ca într-o grupare să existe o singură persoană cu abilități și cunoștințe informatice specifice, pentru a asigura obținerea de beneficii ilicite maxime cu un minim de efort.
În legislația națională, infracțiunile informatice au fost inițial reglementate ca urmare a ratificării Convenției Consiliului Europei privind criminalitatea informatică, semnată la Budapesta în 2001, legiuitorul român alegând să reglementeze aceste infracțiuni prin Legea 365/2002 privind comerțul electronic și prin Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, în Titlul III, „Prevenirea și combaterea criminalității informatice”.
În literatura de specialitate s-a afirmat că soluția inițială a legiuitorului de a reglementa infracțiunile informatice în două acte normative distincte, nu a fost, așa cum practica judiciară a demonstrat, cea mai fericită opțiune. De asemenea, nici soluția adoptată în prezent de legiuitor în Codul Penal adoptat la 1 februarie 2014 nu s-a dovedit a fi mai inspirată, deoarece legiuitorul a optat pentru reglementarea infracțiunilor informatice în titluri diferite, ceea ce diferă doar formal de vechea reglementare.
Reglementarea infracțiunilor informatice, indiferent de forma adoptată, reprezintă o necesitate pentru sistemul legislativ românesc și nu numai. Numeroase state au recurs la punerea în acord a dispozițiilor legale privind infracțiunile informatice, datorită dezvoltării tot mai accelerate a acestui domeniu. Diversitatea infracțiunilor săvârște cu ajutorul calculatorului este imensă, legislațiile neputând acoperi numeroasele modalități faptice prin care acestea pot fi săvârșite. Amenințările cibernetice au dobândit, în ultimii ani, un caracter organizat, infractorii cibernetici asociindu-se în vederea comiterii de infracțiuni, formând grupări infracționale și având ținte din ce în ce mai diverse. O trăsătură importantă a acestor grupări o constituie caracterul global, aceasta însemnând că membrii grupărilor sunt răspândiți în diverse zone ale globului, și pot accesa diverse sisteme informatice, aflate în orice parte a lumii, îngreunând astfel activitatea desfășurată de organele competente.
Această lucrare își propune să analizeze, din perspectiva Codului Penal în vigoare, materia infracțiunilor informatice, un domeniu ce necesită un efort permanent de adaptare legislativă la metodele inovative puse în practică de făptuitori.
I. Considerații generale
Înțelesul unor termeni, sintagme și expresii
În vederea înțelegerii și deslușirii fenomenului infracționalității informatice este necesară explicarea unor termeni. În acest sens, Legea 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției definește, în art. 35, următorii temeni:
prin sistem informatic se înțelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigura prelucrarea automată a datelor, cu ajutorul unui program informatic;
prin prelucrare automată a datelor se înțelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
prin program informatic se înțelege un ansamblu de instrucțiuni care pot fi executate de un sistem informatic în vederea obținerii unui rezultat determinat;
prin date informatice se înțelege orice reprezentare a unor fapte, informații sau concepte într-o forma care poate fi prelucrată printr-un sistem informatic. În aceasta categorie se include și orice program informatic care poate determina realizarea unei funcții de către un sistem informatic;
prin furnizor de servicii se înțelege:
orice persoană fizică sau juridică ce oferă utilizatorilor posibilitatea de a comunica prin intermediul sistemelor informatice;
orice altă persoană fizică sau juridică ce prelucrează sau stochează date informatice pentru persoanele prevăzute la pct. 1 și pentru utilizatorii serviciilor oferite de acestea;
prin date referitoare la traficul informațional se înțelege orice date informatice referitoare la o comunicare realizată printr-un sistem informatic și produse de acesta, care reprezintă o parte din lanțul de comunicare, indicând originea, destinația, ruta, ora, data, mărimea, volumul și durata comunicării, precum și tipul serviciului utilizat pentru comunicare;
prin date referitoare la utilizatori se înțelege orice informație care poate conduce la identificarea unui utilizator, incluzând tipul de comunicație și serviciul folosit, adresa poștală, adresa geografică, numere de telefon sau alte numere de acces și modalitatea de plată a serviciului respectiv, precum și orice alte date care pot conduce la identificarea utilizatorului;
prin măsuri de securitate se înțelege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricționat sau interzis pentru anumite categorii de utilizatori;
prin materiale pornografice cu minori se înțelege orice material care prezintă un minor având un comportament sexual explicit sau o persoană majoră care este prezentată ca un minor având un comportament sexual explicit ori imagini care, deși nu prezintă o persoană reală, simulează, în mod credibil, un minor având un comportament sexual explicit.
Codul Penal preia, în art. 181, definiția sistemului informatic și a datelor informatice din legea 161/2003, întărind și dând o mai mare legitimitate acestor definiții legale. Deasemenea, în art. 180 din Codul penal, sunt redate dispozițiile art. 1 alin. (11) din Legea 365/2002 privind comerțul electronic. Astfel, instrumentul de plată electronică este definit ca acel instrument care permite titularului să efectueze retrageri de numerar, încărcarea și descărcarea unui instrument de monedă electronică, precum și transferul de fonduri, altele decât cele ordonate și executate de către instituții financiare.
Infracțiunile informatice
Noțiunea de infracțiuni informatice nu beneficiază de o definiție în literatura de specialitate. Art. 34 din legea 161/2003 stabilește că „prezentul titlu reglementează prevenirea și combaterea criminalității informatice, prin măsuri specifice de prevenire, descoperire și sancționare a infracțiunilor săvârșite prin intermediul sistemelor informatice, asigurându-se respectarea drepturilor omului și protecția datelor personale”. Din economia acestui text, rezultă că putem defini infracțiunile informatice ca fiind acele infracțiuni săvârșite prin intermediul sistemelor informatice, sau împotriva sistemelor informatice, a căror prevenire și combatere se face prin măsuri specifice de prevenire, descoperire și sancționare.
Există și alte încercări de definire a infracțiunilor informatice , astfel infracțiunea informatică este definită, pe această cale, ca fiind orice infracțiune în care un calculator sau o rețea de calculatoare este obiectul unei infracțiuni, sau în care un calculator sau o rețea de calculatoare este instrumentul sau mediul de înfăptuire a unei infracțiuni. Considerăm că această definiție este una depășită, nefiind de actualitate. Infracțiunile informatice nu se realizează exclusiv cu ajutorul unui calculator sau a unei rețele de calculatoare, putând fi utilizate și alte dispozitive electronice, cum ar fi cele de tip smartphone.
Într-o altă definiție infracțiunea informatică este definită ca fiind orice acțiune ilegală în care un calculator constituie instrumentul sau obiectul delictului. Criticăm și această definiție, din aceleași considerente mai sus prezentate, considerând ca fiind oportună înlocuirea termenului „calculator” cu sintagma „ sistem informatic”.
Așa cum am arătat, infracțiunile informatice sunt acele infracțiuni care se realizează prin intermediul sau împotriva unui sistem informatic. Pe cale de consecință, principalele infracțiuni susceptibile a fi realizate cu ajutorul unui sistem informatic, sau împotriva unui sistem informatic, din Codul Penal sunt: hărțuirea (art. 208), racolarea minorilor în scopuri sexuale (art. 222), violarea vieții private (art. 226), frauda informatică (art. 249), efectuarea de operațiuni financiare în mod fraudulos (art. 250), acceptarea operațiunilor financiare efectuate în mod fraudulos (art. 251), violarea secretului corespondenței ( art. 302), falsificarea de titluri de credit sau instrumente de plată (art. 311), punerea în circulație de valori falsificate (art. 313), falsificarea unor înregistrări tehnice (art. 324), falsul informatic (art. 325), accesul ilegal la un sistem informatic (art. 360), interceptarea ilegală a unei transmisii de date informatice (art. 361), alterarea integrității datelor informatice ( art. 362), perturbarea funcționării sistemelor informatice (art. 363), transferul neautorizat de date informatice (art. 364), operațiuni ilegale cu dispozitive sau programe informatice (art. 365), pornografia infantilă (art. 374), frauda la votul electronic (art. 388). Această enumerare nu este nici expresă, nici limitativă. Astfel infracțiunea de înșelăciune, prevăzută în art. 244, poate fi realizată și în mediul virtual. De asemenea avem în vedere și cunoscutele site-uri de licitații din deep web, de exemplu Silk Road, în care sunt tranzacționate arme, droguri, chiar și persoane, folosind ca metodă de plată bitcoin.
Clasificarea infracțiunilor informatice
Trăsături comune ale infracțiunilor informatice
Așa cum am putut observa, infracțiunile informatice se prezintă într-o mare diversitate, fiind extrem de numeroase, principala lor trăsătură comună fiind prezența sistemului informatic. Fiind un domeniu nou, literatura de specialitate nu a adus un aport deosebit în domeniul clasificării infracțiunilor informatice. De asemenea, clasificarea acestor infracțiuni prezintă interes, cel puțin deocamdată, doar din punct de vedere teoretic.
Infracțiunile informatice sunt susceptibile de săvârșire prin diverse modalități și forme, de aici rezultând și o mare varietate de criterii prin care se poate face clasificarea lor. De aici reținem următoarele criterii: după rolul avut de sistemul informatic, după valoarea socială lezată, după scopul lor, după structura Convenției de la Budapesta.
Clasificarea infracțiunilor după rolul avut de sistemul informatic
Așa cum rezultă din definiția infracțiunilor informatice, acestea pot fi clasificate, după rolul avut de sistemul informatic, în infracțiuni săvârșite cu ajutorul sistemelor informatice și infracțiuni săvârșite împotriva sistemelor informatice.
Infracțiunile săvârșite cu ajutorul unui sistem informatic sunt acele infracțiuni prin care făptuitorul folosindu-se de abilitățile sale tehnice, încalcă o normă imperativă de drept penal, folosindu-se de un sistem informatic. Pot face parte din această categorie infracțiunile de hărțuire, violarea vieții private, etc.
Infracțiunile îndreptate împotriva unui sistem informatic sunt acele infracțiuni prin care făptuitorul, prin diverse modalități faptice, modifică, alterează, șterge sau distruge datele unui asemenea sistem. Nu poate constitui infracțiunea de alterare a integrității datelor informatice, fapta inculpatului de a distruge prin lovituri repetate calculatorul prietenei sale, în scopul răzbunării.
Clasificarea infracțiunilor după valoarea socială lezată
Această clasificare este dată de structura Codului Penal, fiind structurate astfel:
Infracțiuni contra patrimoniului;
Sunt cuprinse în această categorie infracțiunile ce au ca obiect juridic relațiile sociale cu privire la patrimoniu. Fac parte din această categorie infracțiunile de fraudă informatică, efectuarea de operațiuni financiare în mod fraudulos și acceptarea infracțiunilor financiare în mod fraudulos.
Infracțiuni de serviciu;
Din această categorie face parte infracțiunea de violarea a secretului corespondenței ce are ca obiect juridic spectrul de relații privind dreptul la confidențialitatea convorbirilor și comunicațiilor efectuate între două sau mai multe persoane, efectuate prin telefon sau alte dispozitive electronice.
Infracțiuni de fals;
Prezintă interes, din punct de vedere al infracțiunilor informatice, acele infracțiuni ce au ca obiect juridic spectrul de relații sociale cu privire la autenticitatea și veridicitatea titlurilor de credit și a instrumentelor de plată.
Infracțiuni contra siguranței publice;
Din această categorie fac parte infracțiunile cuprinse în capitolul VI. Infracțiuni contra siguranței și integrității sistemelor și datelor informatice din Titlul VII. Infracțiuni contra siguranței publice din Codul Penal. În acest capitol au fost preluate integral dispozițiile Capitolului III Infracțiuni și contravenții din legea 161/2003. Aceste infracțiuni au ca obiect fasciculul de relații sociale ce iau naștere cu privire la prelucrarea datelor informatice.
Infracțiuni care aduc atingere unor relații privind conviețuirea socială;
Din această categorie face parte doar infracțiunea de pornografie infantilă, prevăzută în art. 375 din Codul Penal.
Infracțiuni electorale;
Din această categorie fac parte infracțiunile ce au ca obiect juridic sprectrul de relații privind dreptul și libertatea persoanei de a își exprima votul.
Într-o altă opinie, nu fac parte din această categorie infracțiunile de serviciu și infracțiunile electorale. Este adevărat faptul că, în cazul infracțiunilor de serviciu, violarea secretului corespondenței, în forma tip, nu este o infracțiune ce face obiectul de studiu al infracțiunilor informatice. Dar, pe de altă parte, variantele agravate prevăzute la alin. (2) și (4) se pot realiza exclusiv cu ajutorul unui sistem informatic. Cu privire la cealaltă categorie, infracțiunile electorale, considerăm ca fiind o omisiune a autorilor neincluderea lor în cadrul infracțiunilor informatice.
Clasificarea infracțiunilor după scopul lor
Literatura de specialitate indiană stabilește, în funcție de scopul avut în săvârșirea infracțiunii, 4 mari categorii: infracțiuni comise împotriva indivizilor, infracțiuni comise împotriva proprietății, infracțiuni împotriva organizațiilor și infracțiuni împotriva societății.
Infracțiunile comise împotriva indivizilor sunt acele infracțiuni ce au ca scop hărțuirea și defăimarea unei persoane, folosind un sistem informatic, în mediul virtual și în activitatea pe internet pe care o desfășoară subiectul pasiv. Putem include în această categorie infracțiunea de hărțuire, prevăzută de art. 208.
Infracțiunile comise împotriva proprietății sunt, de regulă, infracțiunile îndreptate împotriva tuturor formelor de proprietate. Un loc important ocupă în această categorie infracțiunile în legătură cu proprietatea intelectuală și protejarea drepturilor de autor asupra operelor.
Cea de-a treia categorie, reprezentată de infracțiunile contra organizațiilor, ocupă un rol din ce în ce mai important. Criminalitatea informatică, prin specificul său, este un fenomen discret și foarte greu de identificat. Dezvoltarea fără precedent a sistemelor informatice, a făcut ca însăși guvernele să fie supuse presiunilor acestui fenomen. Și România a fost ținta unor asemenea atacuri. Astfel Serviciul Român de Informații (SRI) precizează, într-un comunicat, că în perioada 9-12 ianuarie 2015 gruparea de hackeri Security Crewz a efectuat mai multe atacuri cibernetice, de tip defacement, împotriva unor instituții publice. Aceste atacuri au afectat conținutul publicat pe site-urile web ale respectivelor instituții, promovând mesaje ideologice ce susțin Califatul instaurat de gruparea Statul Islamic.
Ultima categorie este cea reprezentată de infracțiunile comise împotriva societății. Putem include în această categorie infracțiunile de pornografie infantilă, prevăzută de art. 374 C.pen. și infracțiunile îndreptate împotriva instituțiilor de credit. Potrivit art. 3 din OU 99/2006 privind instituțiile de credit și adecvarea capitalului, instituțiile de credit, persoane juridice române, sunt: băncile, organizațiile cooperatiste de credit, bănci de economisire și creditare în domeniul locativ, bănci de credit ipotecar și instituțiile emitente de monedă electronică. Intr-o statistică, în anul 2008, în România, ținta activităților de phishing a fost Raiffeisen Bank cu circa 60% din atacuri, urmată de BCR (13%), BRD (10%), Piraeus Bank (8,5%) și Banca Transilvania (8,5%).
Clasificarea infracțiunilor după structura Convenției de la Budapesta
În capitolul II din Convenția de la Budapesta, sunt cuprinse infracțiunile pe care fiecare parte semnatară a Convenției se obligă să adopte măsurile legislative și alte măsuri considerate ca fiind necesare pentru incriminarea lor. Acestea sunt structurate în patru titluri, după cum urmează:
infractiuni impotriva confidentialitatii, integritatii si disponibilitatii datelor si sistemelor informatice: accesarea ilegală, interceptarea ilegală, afectarea integrității datelor, afectarea integrității sistemului și abuzurile asupra dispozitivelor;
infracțiuni informatice: falsificarea informatică, frauda informatică;
infractiuni referitoare la conținut: infracțiuni referitoare la pornografia infantilă;
infracțiuni referitoare la atingerile aduse proprietății intelectuale și drepturilor conexe;
România, ca stat semnatar, și-a asumat în totalitate prevederile Convenției prin adoptarea , inițial, a legii 161/2003 prin incriminarea acestor infracțiuni în Capitolul 3 Infracțiuni și contravenții, în prezent abrogat, și preluarea acestor infracțiuni în Codul Penal.
Analiza infracțiunilor informatice din Codul Penal
Frauda informatică
Conținutul legal
Conținutul legal al acestei infracțiuni este redat în cuprinsul art. 249 C. Pen. Infracțiunea este prevăzută într-o singură variantă tip ce constă în incriminarea faptei de a introduce, modifica sau șterge date informatice sau de a restricționa accesul la aceste date ori împiedicarea în orice mod a funcționării unui sistem informatic, având scopul de a obține un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane.
Infracțiunea de fraudă informatică, reglementată de art. 249 C.Pen., a fost inițial prevăzută în cuprinsul art. 44 din legea 161/2003. Actualul Cod Penal a preluat dispozițiile art. 44 din lege cu mici diferențe în ceea ce privește regimul sancționator.
Obiectul infracțiunii
Obiectul juridic special constă în spectrul de relații sociale în legătură cu patrimoniul unei persoane și încrederea pe care trebuie să o aibe o persoană în stocarea, prelucrarea și procesarea datelor informatice.
Noțiunea de patrimoniu desemnează totalitatea drepturilor și obligațiilor ce pot fi evaluate în bani și aparțin unei persoane.
Obiectul material este reprezentat de suportul pe care se află datele informatice sau de sistemul informatic în care se află sau sunt stocate și procesate datele informatice.
Subiecții infracțiunii
Subiect activ al acestei infracțiuni poate fi orice persoană care întrunește condițiile răspunderii penale și care poate răspunde din punct de vedere penal.
Participația este posibilă sub toate formele sale, respectiv coautorat, instigare sau complicitate.
Subiect pasiv poate fi orice persoană fizică sau juridică care este afectată patrimonial în urma introducerii, modificării sau ștergerii de date informatice, restricționarea accesului la aceste date ori prin împiedicarea în orice mod a funcționării unui sistem informatic pe care îl deține.
Una din cerințele esențiale a acestei infracțiuni constă în pricinuirea de pagube unei persoane. Din economia acestui text, rezultă că poate exista și un subiect pasiv secundar, în ipoteza în care acesta din urmă nu este proprietarul sistemului informatic afectat, ci este titularul datelor informatice stocate pe acest dispozitiv.
Latura obiectivă
Elementul material al infracțiunii de fraudă informatică poate fi realizat doar printr-o acțiune de a introduce, modifica sau șterge date informatice sau de restricționare a accesului la aceste date ori împiedicarea funcționării în orice mod a sistemului informatic.
Prin introducerea de date informatice într-un sistem înțelegem acțiunea de inserare a acestor date într-un sistem informatic, pentru prima dată, folosind un dispozitiv periferic de intrare (tastatura, mouse, etc) sau un dispozitiv periferic mixt (unitate USB flash). Pentru a se realiza introducerea de date informatice într-un sistem este necesar ca aceste date să nu mai existe în respectivul sistem.
Modificarea datelor informatice constă în acțiunea de ștergere parțială sau în acțiunea de introducere parțială de date informatice, ducând la apariția unor noi date informatice, diferite de cele inițiale.
Prin ștergere , în literatura de specialitate, se înțelege acțiunea de eliminarea, în tot sau în parte, a reprezentării binare a datelor informatice vizate (secvențe logice formate din caracterele „0” și „1” corespunzătoare stărilor „magnetizat” și „demagnetizat”) din mediile de stocare de tip compact-disk, hard-disk, etc. ceea ce poate conduce la dispariția respectivelor date.
În practică, ștergerea datelor informatice, ridică anumite probleme. Astfel utilizatorul la comanda „Delete” sau după caz, „Ștergere”, respectiv „Format” are o falsă reprezentare a realității, în sensul că are reprezentarea că datele informatice au fost șterse și nu mai există în sistemul respectiv. Ori, având în vedere sistemul binar, format din caracterele logice „0” și „1”,de care sistemul informatic se folosește pentru stocarea datelor, ștergerea datelor informatice nu este posibilă în această manieră. Astfel sistemul informatic va suprascrie caracterul „1” cu „0”, fiind posibilă recuperarea, în totalitate, a datelor informatice inițiale.Ștergerea definitivă a datelor informatice se poate face doar folosind programe speciale, fiind necesare cunoștiințe avansate. Pe cale de consecință, din cele expuse anterior, rezultă, de lege ferenda, că este necesară modificarea de către legiuitor a sintagmei „ ștergerea de date informatice” și înlocuirea ei, cu o sintagmă corespunzătoare scopului legiuitorului și anume, „ștergerea definitivă de date informatice”.
Ștergerea datelor informatice se poate realiza și prin distrugerea propriu-zisă a suportului fizic pe care se află stocate datele informatice (CD, hard-disk, etc) sau chiar prin distrugerea sistemului informatic. În acest caz, se poate reține concurs de infracțiuni, între infracțiunea e fraudă informatică prevăzută de art. 249 C.Pen. și infracțiunea de distrugere prevăzută de art. 253 C.Pen. În acest sens, este necesară analiza scopului pentru care a fost efectuată distrugerea datelor informatice, respectiv a suportului pe care se află acestea, analiză ce se va face ulterior, în cadrul unei alte secțiuni.
Restricționarea accesului la datele informatice se poate face prin două modalități: una software și una harware. În cazul restricționării accesului la datelor informatice efectuată prin modalitatea hardware, făptuitorul acționează fizic asupra unui sistem informatic, de exemplu prin înlăturarea unui hard-disk dintr-un server, fără a afecta funcționalitatea acestuia din urmă.
Restricționarea software se poate face, la rândul ei, prin diferite modalități. Astfel, făptuitorul poate acționa asupra unor fișiere, fără a le șterge, făcându-le inaccesibile sau modificându-le astfel încât acestea să nu se mai regăsească în forma inițială. Spre exemplu, făptuitorul prin intermediul atacurilor informatice asupra unui site Web, poate modifica conținutul acestuia sau chiar bloca întregul site, făcându-l indisponibil proprietarului.
Prin sintagma „împiedicarea în orice mod a funcționării unui sistem informatic” definim orice acțiune sau inacțiune care să conducă la imposibilitatea utilizării sistemului informatic, pe o anumită durată, de așa natură încât să conducă la cauzarea de pagube unei persoane.
Infracțiunea de fraudă informatică, putând fi săvârșită în diferite modalități, este adesea confundată cu infracțiunea de înșelăciune, practica judiciară nefiind unitară în acest sens. Astfel, prin decizia 3470 din 6 octombrie 2010 a ICCJ, instanța a reținut că fapta inculpatului de a induce în eroare partea vătămată prin intermediul sistemului informatic, purtând o corespondență electronică cu victimele la care a atașat diferite fișiere conținând descrierea locațiilor oferite spre închiriere, inclusiv imagini ale acestora, se circumscrie atât infracțiunii de înșelăciune, cât și infracțiunii de fraudă informatică.
Instanța supremă a stabilit, de asemenea, că fapta de a se constitui într-un grup infracțional organizat, având ca scop inducerea în eroare, prin intermediul internetului, a unor cetățeni străini, de la care au primit sume de bani în dolari, euro și lire sterline, totalizând 26169 dolari SUA, 8341 euro și 620 lire sterline, întrunește elementele constitutive ale infracțiunilor de inițiere sau constituire unui grup infracțional organizat ori aderarea sau sprijinirea sub orice formă a unui astfel de grup ,prevăzută de art 7 din Legea nr. 39/2003 cu referire la art. 2 lit. b) pct. 18 din aceeași lege, infracțiunii de înșelăciune prevăzute de art. 215 alin. (1) și (3) C. pen.ant. cu aplic art 41 alin. (2) C. pen.ant. și infracțiunea de fraudă informatică, prevăzută de art. 49 din Legea nr. 161/2003 cu aplic. art. 41 alin. (2) C.pen.ant., fapte aflate în concurs.
Date fiind soluțiile adoptate în aceste spețe, de reținere a concursului de infracțiuni între infracțiunea de înșelăciune și infracțiunea de fraudă informatică, se pune problema analizei caracterului de normă specială de incriminare a infracțiunii de fraudă informatică, față de infracțiunea de înșelăciune, prevăzută de art. 244 din C. Pen. Astfel , într-o opinie, infracțiunea de fraudă informatică constituie o „variantă de specie a infracțiunii de înșelăciune, în care inducerea în eroare a victimei are loc prin folosirea unui sistem informatic”. De asemenea, frauda informatică este considerată varianta informatică a infracțiunii de înșelăciune. Înșelăciunea constă în inducerea în eroare a unei persoane prin prezentarea ca adevărată a unei fapte mincinoase sau ca mincinoasă a unei fapte adevărate, în scopul de a obține pentru sine ori pentru altul un folos material injust și dacă s-a pricinuit o pagubă. Or, elementul material al infracțiunii de înșelăciune poate fi realizat și în mediul virtual. Pe cale de consecință, rezultă că nu se poate reține concursul între aceste două infracțiuni, dat fiind faptul că un obiect juridic comun, protejarea patrimoniului unei persoane, infracțiunea de fraudă informatică fiind reținută ca fiind normă specială. Și practica recentă a ICCJ susține această concepție. În această speță, curtea supremă constată că „vânzările fictive de bunuri on-line, realizate prin intermediul platformelor specializate în tranzacționarea de bunuri on-line, care cauzează un prejudiciu persoanelor vătămate induse în eroare prin introducerea de date informatice cu privire la existența bunurilor și determinate, în acest mod, să plătească prețul unor bunuri inexistente, întrunesc elementele constitutive ale infracțiunii de fraudă informatică prevăzută în art. 49 din Legea nr. 161/2003. În acest caz, nu sunt întrunite și elementele constitutive ale infracțiunii de înșelăciune, întrucât infracțiunea de fraudă informatică reprezintă o variantă a infracțiunii de înșelăciune săvârșită în mediul virtual, iar art. 49 din Legea nr. 161/2003 constituie norma specială în raport cu art. 215 C. pen. (1968), care constituie norma generală, fiind aplicabilă exclusiv norma specială.” Rezultă așadar, că principalele argumente aduse de curtea supremă constau în aceea că infracțiunea de fraudă informatică, așa cum era prevăzută în art. 49 din Legea 161/2003, articol care a fost preluat în totalitate în cuprinsul art. 249 C.pen., este o normă specială, ce reglementează o formă specială de fraudă, săvârșită în mediul virtual. De asemenea, având în vedere principiul potrivit căruia norma specială derogă de la norma generală și inadmisibilitatea eventualei îmbogățiri fără justă cauză a părții civile prin dubla reparare a prejudiciului, fapt ce ar rezulta din reținerea în concurs a infracțiunilor de înșelăciune și fraudă informatică, apare justa consecință că în cazului concursului între norma generală și norma specială va avea câștig de cauză întotdeauna norma specială.
Din nefericire, încadrarea juridică a faptelor ce constituie latura obiectivă a infracțiunii de fraudă informatică ridică încă probleme. Astfel, într-o speță, curtea de apel, asupra apelurilor declarate, constată că prin sentința penală nr. 84 din data de 6 iulie 2015 pronunțată de Tribunalul Vâlcea, în temeiul art. 386 CPP, s-a schimbat încadrarea juridică a faptelor, din 5 infracțiuni de fraudă informatică, prevăzute și pedepsite de art. 249 Cod penal și 12 tentative la fraudă informatică prevăzute și pedepsite de art. 32 al.1 Cod penal, raportat la art. 249 Cod penal, cu aplicarea art.5 Cod penal , toate cu aplicarea art. 33 lit. a) Cod penal, în infracțiunea de înșelăciune în formă continuată prevăzută de art. 215 al.1, 2 și 3 Cod penal (1968), 5 infracțiuni în formă consumată și 12 acțiuni în forma tentativei). În cauză, s-a reținut faptul că inculpații procedau la realizarea de oferte fictive pe internet, fraudând astfel victimele care, de bună credință, transferau prețul pentru bunurile fin anunțurile fictive de pe Internet, prin sistemul Western Union. De asemenea, făptuitorii au racolat și diverse alte persoane care , în schimbul unui comision de 10-20% să accepte să primească sumele de bani prin sistemul Western Union, în numele lor.
Instanța de fond, a constatat că în cuprinsul rechizitoriului nu sunt arătate elemente care să ducă la concluzia că faptele inculpaților întrunesc elementele constitutive ale infracțiunii de fraudă informatică. Instanța de fond a apreciat că prin simpla introducere de date informatice fără să producă vreo pagubă persoanelor vătămate, nu se realizează urmarea imediată a elementului material al infracțiunii de fraudă informatică. De asemenea instanța de fond a concluzionat că prejudiciul cauzat a fost produs ulterior, ca urmare a unor altor acțiuni ale inculpaților, prin folosirea de nume și calități mincinoase și că faptele întrunesc elementele constitutive ale infracțiunii de înșelăciune.
Curtea de Apel, în mod corect a schimbat încadrarea juridică a faptelor, argumentând că acestea întrunesc elementele constitutive ale infracțiunii de fraudă informatică, având în vedere caracterul de normă specială al celei din urmă.
Fraudele informatice pot fi realizate într-un număr infinit de feluri, imaginația făptuitorului fiind singurul impediment în realizarea infracțiunii. Totuși, unele scheme de fraudare, datorită adoptării lor de numeroși infractori, au devenit celebre. Dintre acestea, cele mai cunoscute sunt: frauda „Bait and switch” (momește și schimbă), „Confidence Tricks” (trucuri bazate pe încredere), „Advanced Fee Fraud” (frauda cu avans), „Fake Escrow” (depozit fals), și frauda „salam” .
Frauda „Bait and switch” este una dintre cele mai cunoscute fraude, fiind totodată și una dintre cele mai ușor de realizat. Acest tip de fraudă presupune o schemă simplă, în acest sens făptuitorul, persoană fizică sau juridică, face publicitate unui produs sau unui serviciu extraordinar, la un preț foarte bun, folosind diverse mijloace informatice. Când potențialii „clienți”, victime ale infracțiunii, încearcă să cumpere acest bun sau serviciu, află de la făptuitor că acesta nu mai este disponibil, oferindu-li-se în schimb, un produs sau un serviciu, de o calitate îndoielnică sau chiar un produs bun, de calitate, dar la suprapreț. Specific acestui modus operandi este faptul că, în majoritatea cazurilor, persoanele vătămate nu realizează că au fost victima unei infracțiuni, fiind chiar convinse că au realizat o afacere profitabilă. Totodată, dacă produsul sau serviciul căruia i s-a făcut reclamă inițial de către făptuitor, rămâne disponibil, iar făptuitorul, prin capacitatea sa de convingere, îndreaptă potențialul client către un alt produs sau serviciu, de o altă calitate sau cu un alt preț, această faptă nu constituie infracțiune. Pe cale de consecință, rezultă că acest tip de fraudă este foarte greu de dovedit în practică.
Prin „confidence tricks” înțelegem încercarea de a frauda o persoană sau un grup de persoane, după câștigarea încrederii lor. Trucurile bazate pe încredere exploatează caracteristici ale psihicului uman, cum ar fi onestitatea, compasiunea, naivitatea și lăcomia. În cazul acestei scheme de fraudare sunt necesare numeroase pregătiri, uneori chiar și angajarea de personal necesar pentru a induce în eroare victima, care la rândul ei, este contactată prin mijloace electronice și i se acordă oportunitatea de a profita de schemă. Este încurajată lăcomia victimei, oferindu-i-se diverse sume de bani, acțiuni sau dividende. Un complice investește o sumă mare de bani, pentru a oferi legitimitate fraudei și pentru a asigura victima că este o schemă sigură din care poate câștiga o sumă mare de bani. În final, victima va pierde întreaga suma de bani. Întreagă activitate de desfășurare a infracțiunii se realizează prin intermediul mijloacelor electronice.
„Advanced fee fraud” sau fraudele cu avans mai sunt cunoscute sub denumirea de transferuri nigeriene, datorită originii istorice a acestei fraude. Schema de fraudare începe de regulă cu un email trimis unui număr mare de persoane, dar din conținutul acestuia rezultă că ar fi trimis unui număr atent selecționat. Conținutul emailului variază, de la caz la caz, dar de regulă, este vorba despre o persoană, care pretinde că face parte din Guvernul Nigerian sau că este un bancher, ce are cunoștiință de o sumă mare de bani nerevendicată de nimeni, dar pe care nu o poate accesa în mod direct. Suma de bani este foarte mare, de ordinul a milioane de dolari, iar investitorului îi este promisă o mare parte din aceasta, de 10-40%, în schimbul ajutorării fraudatorului de a recupera sau a repatria suma de bani. Pentru a convinge victima să încheie afacerea, făptuitorul îi oferă acesteia diverse documente false purtând ștampile și documente oficiale. După convingerea victimei, fraudatorul înscenează diverse evenimente cum ar fi: „Pentru a transfera suma, trebuie să mituim bancherul. Ne poți ajuta cu un împrumut?” sau „Pentru a lua parte la tranzacție, trebuie să aveți depuneri la o bancă nigeriană de 100.000 dolari”. Se înțelege că acești bani vor ajunge în posesia fraudatorului, victima transferând de bună voie, dar fără să știe, sumele în posesia făptuitorului. Bineînțeles, nici sumele de bani promise victimei ca și comision nu vor ajunge în posesia acesteia.
Fake Escrow, depozitele false, constituie un alt tip de fraudă informatică. Astfel autorul infracțiunii, după câștigarea unei licitații pe internet, cere victimei, vânzător în cauză, utilizarea unui serviciu de tip escrow, controlat de autor sau de către un complice al acestuia, până la perfectarea plății. La primirea bunurilor în garanție, site-ul escrow este închis, victima fiind păgubită prin pierderea bunurilor.
Frauda „salam” este un tip de fraudă ce necesită accesul la un sistem informatic bancar. Numele său sugestiv, se trage de la modul de operare al infractorului, „felierea salamului”. Astfel autorul modifică programul de gestionare conturi clienți al băncii astfel încât, în cazul unor tranzacții efectuate de clienți, programul să efectueze tranzacțiile rotunjind sumele în sus, iar diferența este direcționată către contul autorului infracțiunii. Astfel, la o tranzacție de 100,49 lei programul va tranzacționa din contul clientului 100,50 lei, diferența de 0,01 lei fiind transferată în contul făptuitorului. Deși sumele sunt mici și foarte greu de observat de către client, autorul dobândește câștiguri mari datorită numărului mare de tranzacții efectuate pe parcursul unei anumite perioade de timp.
Cel mai întâlnit tip de fraudă informatică, ce a căpătat proporții fenomenale în ultimul timp, este cel realizat prin intermediul site-urilor online de licitații. Astfel, autorul adaugă un anunț pe unul din aceste site-uri, de regulă Ebay, promovând un produs atragător, cu un preț foarte mic. Bineînțeles că produsul nu există, autorul folosind de obicei descrieri și poze reale ale unor astfel de produse, dar sustrase din anunțurile altor persoane. Cumpărătorul, victimă a infracțiunii, este atras de prețul foarte mic al produsului respectiv. Autorul infracțiunii, prin diverse metode, cum ar fi duplicarea unui site al unui transportator prin care să arate că produsul este în curs de expediere, convinge cumpărătorul să plătească prețul, înainte să platească bunul din anunț. Pe cale de consecință, cumpărătorul este păgubit, neprimind bunul sau primind în schimb colete având ca și conținut machete ale produsului, pietre, cărămizi sau cartoane.
Specific acestui tip de fraudă este faptul că făptuitorului nu îi sunt necesare cunoștințe de specialitate și nici un coeficient ridicat de inteligență, orice persoană care are aptitudini elementare de utilizare a internetului poate fi subiect activ al acestei infracțiuni. De aici rezultă și numărul mare de infracțiuni de fraudă informatică ce au acest modus operandi.
Pentru exemplificare și o mai bună înțelegere a modalităților faptice prin care se pot săvârși infracțiunile de fraudă informatică, luăm exemplu următoarea speță:
Prin propunerea înregistrată pe rolul instanței la data de 15.07.2011, Parchetul de pe lângă Înalta Curte de Casație și Justiție, D.I.I.C.O.T, a solicitat luarea măsurii preventive față de inculpații: J.V.A, B.M., T.C.D., G.S.A., O.M.A.,C.M.C., A.C., S.A., D.I.V., F.F.A., C.I., D.S.I., D.D.F., D.V., C.S.M. B.C.I., C.C.V., B.A.D., T.N., N.C., P.R.
În fapt, s-a reținut că, în perioada anilor 2009-2011, inculpații, împreună cu alte persoane, s-au constituit într un grup infracțional organizat, cu ramificații transfrontaliere, în scopul săvârșirii infracțiunilor de înșelăciune, fraudă informatică, fals informatic respectiv au indus și menținut în eroare un număr nedeterminat de cumpărători online în cazul platformelor electronice comerciale www.eBay.com, www.craiglist.org etc., prin postarea unor anunțuri fictive de vânzare a unor bunuri inexistente în realitate, comunicarea de informații false victimelor prin intermediul poștei electronice ale unui alt tip de comunicații (chat), cu privire la realitatea anunțurilor, modalitatea de a achiziție, plata prețului, identitatea vânzătorului, au creat si transmis victimelor facturi fictive din care sa rezulte realitatea tranzacțiilor fraudulos realizate.
Sumele de bani aferente prețului plătit de victime au fost colectate din străinătate (cel mai adesea de pe teritoriul SUA) cu folosirea de identități false de către membrii grupului și mai apoi retransmise în România prin intermediul transferurilor rapide de către persoane afiliate grupului cu acest scop și distribuite procentual în raport de contribuție.
Astfel, în ceea ce privește modul de operare al grupului, s-a reținut că în cursul anului 2010 și mai apoi pe parcursul anului 2011 au fost postate anunțuri fictive privind vânzarea unui bun mobile precum automobile, ATV-uri, motociclete, biciclete, etc. prin intermediul unei platforme de comerț electronice consacrate. Pentru eficientizarea activității frauduloase, membri grupului situați în palierul de execuție propriu-zisă a fraudelor au folosit scripturi predefinite pentru încărcarea anunțurilor, alături de fotografii și VIN (numărul de identificare al vehiculului) aparținând unor bunuri deja postate de alți utilizatori.
Conform uzanțelor, după acceptarea de către victime a tranzacțiilor, prin email li se comunică acestora detaliile finalizării tranzacției, precum și solicitarea ca sumele de bani aferente prețului integral sau parțial al vânzării să fie trimise către un pretins agent eBay, cu rol de garant (escrow).
Legitimitatea tranzacția a fost marcată de transmiterea către victime a unor facturi false, în cuprinsul cărora erau arătate detaliile complete ale tranzacției, precum numărul de ordine al obiectului listat, obiectul cumpărat, prețul, numele și adresa pretinsului agent eBay, modalitatea de plată. În aparență, adresa de email utilizată pentru trimiterea facturilor conține numele companiei eBay sunt diferite forme.
Pentru a îngreuna posibilitatea identificării autorilor și pentru a câștiga încrederea cumpărătorilor, care, în urma numeroaselor fraude comise prin internet de cetățeni români, evită să încheie tranzacții cu persoane din România au fost utilizate de identități fictive, dublate de acte de identitate corespunzătoare, preponderent folosite pentru încasarea sumelor de bani în mod direct transferate, drept preț, de către persoanele vătămate, ca urmare a licitațiilor fictive.
S-a mai reținut că până în prezent au fost formulate peste 100 de plângeri din partea persoanelor vătămate, din totalul celor peste 600 de potențiale victime contactate, prejudiciul fiind estimat la 8 milioane dolari.
Urmarea imediată constă în producerea unei pagube sau prejudiciu unei persoane. Prejudiciul trebuie să fie efectiv și cert, în caz contrar, infracțiunea rămânând în faza tentativei.
Raportul de cauzalitate între acțiunile sau inacțiunile ce formează elementul material al infracțiunii și urmarea imediată trebuie să existe și, să fie dovedită legătura dintre acestea.
Latura subiectivă
Sub aspectul laturii subiective, săvârșirea infracțiunii de fraudă informatică este posibilă având ca forme de vinovăție intenția directă și intenția indirectă.
În literatura de specialitate există și opinii conform cărora infracțiunea informatică se comite numai prin intenție directă calificată prin scop, argumentându-se faptul că acțiunea făptuitorului se realizează în scopul de a obține un folos material pentru sine sau pentru altul.
Actele preparatorii sunt posibile dar neincriminate.
Conform art. 252 C.pen, tentativa se pedepsește. Infracțiunea de fraudă informatică se consumă în momentul realizării efective a prejudiciului. Într-o altă opinie, pentru existența laturii subiective a infracțiunii nu este nevoie ca
prejudiciul material să fi fost efectiv realizat, ci numai să fi existat ca o posibilitate urmărită de făptuitor. Or, dacă prejudiciul material nu a fost efectiv realizat, infracțiunea va ramâne în faza tentativei, întrucât cauzarea unei pagube unei persoane apare ca fiind o cerință esențială pentru existența infracțiunii.
Sub aspectul legii penale mai favorabile, nu există diferențe de conținut între actualul Cod Penal și legislația anterioară, Legea 149/2003. Sub aspectul regimului sancționator, actualul Cod Penal introduce o pedeapsă mai blândă, de la 2 la 7 ani, spre deosebire de vechea reglementare ce instituia o pedeapsă cu închisoarea de la 3 la 12 ani. Pe cale de consecință, actuala reglementare a infracțiunii de fraudă informatică apare ca fiind legea penală mai favorabilă.
Efectuarea de operațiuni financiare în mod fraudulos
Conținutul legal
Conținutul legal al acestei infracțiuni este redat în cuprinsul art. 250 C.Pen. Astfel infracțiunea de efectuare de operațiuni financiare în mod fraudulos este prevăzută, în cuprinsul acestui articol, într-o variantă tip, o variantă asimilată și o variantă atenuată. În alin. (1) al aceluiași articol este prevăzută varianta tip ce constă în efectuarea unei operațiuni de retragere de numerar, încărcare sau descărare a unui instrument de monedă electronică ori de transfer de fonduri, prin utilizarea, fără consimțământul titularului, a unui instrument de plată electronică sau a datelor de identificare care permit utilizarea acestuia.
Varianta asimilată prevăzută la alin.(2) constă în efectuarea uneia dintre operațiunile prevăzute la alin.(1), prin utilizarea, prin utilizarea neautorizată a oricăror date de identificare sau prin utilizarea de date de identificare fictive.
În final, în cadrul alin.(3), este prevăzută și varianta agravată ce constă în transmiterea neautorizată către altă persoană a oricăror date de identificare, în vederea efectuării uneia dintre operațiunile prevăzute în alin.(1).
Obiectul infracțiunii
Obiectul juridic specific este format din spectrul de relații sociale ce asigură protecția activității electronice de comerț precum și fasciculul de relații cu privire la autenticitatea datelor informatice.
Obiectul material al infracțiunii de efectuare de operațiuni financiare în mod fraudulos este reprezentat de mijloacele electronice de plată.
Prin mijloc electronic de plată, în sensul art.1 pct.(11) din Legea 365/2002 privind comerțul electronic republicată, înțelegem un instrument care permite titularului său să efectueze transferuri de fonduri, altele decât cele ordonate și executate de către instituțiile financiare, retrageri de numerar, precum și încărcarea și descărcarea unui instrument de monedă electronică.
Prin instrument de monedă electronică, în sensul art.1, pct. (13) din aceiași lege, înțelegem acel intrument de plată electronică, altul decât instrumentul de plată cu acces la distanță, pe care unitățile de valoare sunt stocate electronic și care permite titularului său să efectueze tipurile de operațiuni arătate la pct.(11). În final, sintagma „instrument de plată cu acces la distanță” este definită în art. 1 pct.(12) din Legea 365/2002 ca fiind acel instrument de plată electronică prin intermediul căruia titularul său poate să își acceseze fondurile deținute într-un cont la o instituție financiară și să autorizeze efectuarea unei plăți, utilizând un cod personal de identificare sau un alt mijloc de identificare similar.
Într-o altă opinie se consideră că obiectul material al infracțiunii analizate este constituit din modalitatea utilizării instrumentului de plată electronică, în cazul în care acest intrument presupune un suport material.
Subiecții infracțiunii
Textul incriminator al infracțiunii nu indică o calificare expresă a subiectului activ. Pe cale de consecință, rezultă că subiect activ al infracțiunii de efectuare de operațiuni financiare în mod fraudulos poate fi orice persoană, fizică sau juridică, care îndeplinește condițiile răspunderii penale și care poate răspunde din punct de vedere penal.
Participația este posibilă sub toate formele sale și anume autorat, coautorat, instigare și complicitate.
Cu privire la subiectul pasiv, în literatura de specialitate , au apărut controverse. Astfel într-o opinie se consideră că subiect pasiv principal este statul, ca titular al obligației de a asigura desfășurarea în condiții de legalitate a activității de comerț electronic iar subiect pasiv secundar este, după caz, titularul instrumentului de plată electronică sau persoana căreia îi aparțin datele de identificare utilizate. Într-o altă opinie se statuează faptul că subiectual pasiv principal este, după caz, titularul instrumentului de plată utilizat fără drept sau persona căreia îi aparțin datele de identificare utillizate iar subiect pasiv secundar este persoana juridică proprietară a instrumentului de plată electronică (respectiv instituția financiară emitentă).
Latura obiectivă
Elementul material al infracțiunii de efectuare de operațiuni informatice în mod fraudulos, în varianta tip, poate fi realizat prin mai multe acțiuni alternative, respectiv efectuarea unei operațiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri. Pentru a constitui infracțiune, este necesar ca, aceste acțiuni, să fie realizate fără consimțământul titularului, prin utilizarea instrumentului de plată electronică sau a datelor de identificare care permit utilizarea acestuia. Prin date de identificare, nu ne referim la datele de identitate ale titularului, deși în această categorie sunt incluse și acestea, ci la datele înscrise pe instrumentul respectiv, cum ar fi numărul cardului, data emiterii și expirării respectivului instrument, codul de verificare sau codul PIN (număr personal de identificare). Aceste acțiuni, de regulă, sunt realizate prin intermediul unui card. Prin card, în accepțiunea Regulamentului BNR 6/2006, înțelegem acel instrument de plată electronică, securizat și individualizat, care permite deținătorului său să folosească disponibilitățile banești proprii dintr-un cont deschis pe numele său la emitentul cardului și/sau să utilizeze o linie de credit, in limita unui plafon stabilit in prealabil, deschisă de emitent în favoarea deținătorului cardului. În literatura de specialitate s-a statuat faptul că este obligatoriu ca împreună cu datele de identificare să fie utilizat și instrumentul de plată. Se pune așadar problema cumpărăturilor efectuate pe internet și plătite cu ajutorul unui card. Astfel, făptuitorul poate copia datele de identificare ale cardului titularului, dar fără a sustrage cardul însuși, folosindu-se de aceste date pentru a achita cumpărăturile. Așadar, în acest context, se pune problema existenței infracțiunii de efectuare de operațiuni financiare în mod fraudulos, dat fiind faptul că făptuitorul nu folosește efectiv instrumentul de plată electronică, ci doar datele inscripționate pe acesta. Considerăm că temeiurile infracțiunii subzistă, întrucât prin folosirea datelor de identificare, făptuitorul folosește însuși instrumentul de plată electronică, ce nu este altceva decât un suport de informație standardizat.
În practică, cea mai întâlnită modalitate de săvârșire a acestei infracțiuni constă în activitatea de retragere de numerar de pe un card bancar. Cardul poate fi unul autentic, emis legal, ajuns în posesia făptuitorului în mod nelegal sau prin încredințare directă, dar folosit fără drept sau, cardul poate fi falsificat sau clonat, făptuitorul folosindu-se de datele de identificare ajunse în posesia sa prin diverse modalități.
În prima situație practica judiciară este unitară, reținându-se două infracțiuni concurente, respectiv furt, furt calificat, tâlhărie aflate în concurs cu infracțiunea de efectuare de operațiuni financiare efectuate în mod fraudulos. Spre exemplu, într-o speță instanța a dispus condamnarea inculpatei la pedeapsa de 6 luni închisoare pentru infracțiunea de furt și la pedeapsa de 6 luni închisoare pentru infracțiunea prevăzută de art.27 alin.(1) din Legea 365/2002 privind comerțul electronic (actualmente infracțiunea de efectuare de operațiuni financiare în mod fraudulos prevăzută în art. 250 C.pen) aflate în concurs real. Pentru a dispune această condamnare, instanța a reținut în sarcina condamnatei, faptul că în perioada aprilie-mai 2006 aceasta a sustras mai multe carduri bancare, încredințate spre păstrare firmei pentru care lucra de către angajații acesteia, efectuând retrageri de numerar din conturile atașate acestor carduri.
În a doua situație, cea în care cardul este falsificat sau clonat, problema este controversată. Astfel, într-o altă speță instanța a reținut că fapta inculpaților de a clona cardurile unor cetățeni emise de instituții bancare din Italia și retragerea de pe aceste carduri a unor sume de bani de la diferite bancomate de pe teritoriul României constituie infracțiunea prevăzută de art.24 alin.(2) din Legea 365/2002 „întrucât inculpații au folosit instrumente de plată electronică falsificate, pe care le-au pus în circulație, prin retragerea sumelor de bani în numerar, însușindu-le pe nedrept, în timp ce prevederile art. 27 alin. (1) din aceeași lege se referă la utilizarea unor instrumente de plată reale, fără acordul titularilor acestora”. Or, art. 27 alin.(1), actualmente preluat în art. 250 din C.pen, nu face referire la un instrument de plată real sau clonat, legiuitorul nefolosind această sintagmă. Totodată trebuie menționat faptul că prin clonare, cardul falsificat capată aceleași valențe ca și originalul. Pe cale de consecință, rezultă că încadrarea juridică efectuată de această instanță este greșită.
Această problemă a fost tranșată definitiv prin decizia nr. 15 din 14 Octombrie 2013 pronunțată de ÎCCJ în soluționarea recursului în interesul legii. Astfel, prin această decizie, instanța supremă a clarificat problemele ridicate de încadrarea juridică, identificând trei situații posibile. Într-o primă situație este statuat faptul că „Montarea la bancomat a dispozitivelor autonome de citire a benzii magnetice a cardului autentic și a codului PIN aferent acestuia (skimmere, mini videocamere sau dispozitive tip tastatură falsă) constituie infracțiunea prevăzută de art. 46 alin. 2 din Legea nr. 161/2003”, actualmente infracțiunea de operațiuni ilegale cu dispozitive sau programe informatice prevăzută în varianta asimilată de la art.365 alin.(2) C.pen. Această ipoteză va fi analizată mai târziu, în cadrul unei alte infracțiuni.
În cea de-a doua situație, curtea a statuat faptul că folosirea unui card autentic, fără acordul titularului său, precum și a datelor de identificare, constituie infracțiunea de efectuare de operațiuni financiare în mod fraudulos aflată în concurs ideal cu infracțiunea de acces ilegal la un sistem informatic. Deci, prin folosirea unui card autentic,fără drept, la un bancomat, care nu este altceva decât un sistem informatic, făptuitorul a accesat în mod neautorizat sistemul informatic al băncii. De asemenea, aceste infracțiuni mai pot fi reținute și în concurs real cu o infracțiune de furt, furt calificat, tâlhărie, tâlhărie calificată sau chiar însușirea bunului găsit sau ajuns din eroare la făptuitor, în funcție de modalitatea faptică prin care făptuitorul a intrat în posesia cardului autentic. S-a reținut astfel în sarcina inculpatului că la data de 08.01.2007 a găsit portofelul aparținând persoanei vătămate D.B, în care se găsea cardul bancar emis de B.T. alături de codul PIN. Inculpatul nu a returnat portofelul împreună cu cardul bancar în termen de 10 zile de la data la care acesta l-a găsit, efectuând în acest timp și o retragere de numerar, în sumă de 3000 lei, de pe cardul persoanei vătămate. Astfel instanța l-a condamnat pe inculpat pentru infracțiunea de însușire a bunului găsit sau ajuns din eroare la făptuitor și infracțiunea prevăzută de art. 27 alin.(1) din legea 365/2002, actualmente art.250 C.pen.
Un aspect foarte controversat apărut în practică este legat de utilizarea cardurilor de comerciant, respectiv folosirea unor carduri de alimentare combustibil. Acest tip de card de alimentare este emis în baza unui contract de vânzare, prin care o parte, denumită vânzător, se obligă să vândă în limita unui plafon, stabilit în contract, carburant în stațiile sale de alimentare către o altă parte, beneficiar, contravaloarea carburantului fiind achitată de către acesta din urmă la un termen stabilit în contract, pe baza facturilor emise de vânzător. În literatura de specialitate, în mod corect s-a afirmat că acest tip de card nu este un instrument de plată electronică, așa cum este definit de lege și că la prima vedere, folosirea neautorizată a unui asemenea tip de card poate constitui infracțiunea de efectuare de operațiuni informatice în mod fraudulos dar temeiurile acestei infracțiuni nu subzistă, dat fiind faptul că nu sunt îndeplinite condițiile privind instrumentul de plată electronică. Or, deși această opinie este corectă, ea nu este completă, întrucât autorul a omis să analizeze dispozițiile art. 250 C.pen, privind încărcarea sau descărcarea unui instrument de monedă electronică. Ca atare, așa cum am arătat în definiția instrumentului de monedă electronică, acest tip de card este un instrument de plată electronică, reîncărcabil, pe care unitățile de valoare sujnt stocate electronic, în limita plafonului disponibil. De asemenea, într-o speță atât instanța de fond, cât și instanța de apel, au considerat că fapta de a utiliza fără drept un card de alimentare de combustibil nu întrunește, sub aspectul laturii obiective, elementele constitutive ale infracțiunii de efectuare de operațiuni financiare în mod fraudulos, dispunând achitarea inculpaților pe considerentul că acest tip de card de alimentare de combustibil nu este un instrument ce permite efectuarea de transferuri de fonduri sau retragerea de numerar. Pentru a pronunța această hotărâre, instanțele au reținut că inculpatul P.E.E.D. a găsit un portmoneu în care se aflau diferite documente, precum și un card alături de un bilețel având codul PIN al acestuia.Inculpatul a folosit în zilele următoare cardul găsit ca mijloc de plată pentru alimentarea cu benzină a mașinii personale, cât și a altor cunoștințe. Atât instanța de fond, cât și instanța de apel l-au achitat pe inculpat pentru infracțiunea de operațiuni financiare efectuate în mod fraudulos statuând că prin cardul de de alimentare cu combustibil nu se pot efectua transferuri de fonduri, retrageri de numerar, acesta neavând caracteristicile unui instrument de plată electronică, lipsind latur obiectivă a infracțiunii. Instanța de recurs, în mod corect a sesizat faptul că, cardul găsit și utilizat de inculpat nu reprezintă un instrument ce permite efectuarea de transferuri de fonduri sau retragerea de numerar, însă instanțele au omis să analizeze dacă acesta reprezintă un instrument de monedă electronică. Astfel, instanța de recurs a casat hotărârile instanțelor de fond întrucât acestea au comis o eroare gravă de fapt în aprecierea naturii cardului, eroare ce a determinat achitarea inculpatului pentru infracțiunea de efectuare de operațiuni financiare în mod fraudulos.
În fine, ultima situație identificată de ÎCCJ, constă în folosirea unui card falsificat sau clonat, folosit pentru retragerea de numerar, faptă care constituie infracțiunea de efectuare de operațiuni financiare efectuate în mod fraudulos, infracțiunea de acces ilegal la un sistem informatic și infracțiunea de falsificare de titluri de credit sau instrumente de plată aflate în concurs ideal.
În cazul variantei asimilate, prevăzute la alin. (2) al art. 250 C.pen., este pedepsită utilizarea neautorizată a oricăror date de identificare sau prin utilizarea de date de identificare fictive, prin efectuarea uneia dintre operațiunile prevăzute la alin.(1). Această variantă va fi reținută în situația în care utilizarea unor date de identificare fictive este realizată pentru ascunderea identității adevărate a persoanei care a efectuat activitatea de comerț electronic.
Varianta atenuată, prevăzută în ultimul alineat, constă în transmiterea neautorizată către altă persoană a oricăror date de identificare, în vederea efectuării uneia dintre operațiunile prevăzute în alin.(1). Din analiza dispozițiilor textului legal, apar o serie de cerințe esențiale pentru reținerea acestei variante și, anume, transmiterea datelor de identificare trebuie să se facă în mod neutorizat, datele de identificare trebuie să privească datele de identificare electronică a unei persoane și transmiterea datelor trebuie să se facă în scopul comiterii uneia dintre operațiunile prevăzute în alin.(1). Astfel, în cazul primei cerințe, este necesar ca transmiterea datelor să se facă în mod neautorizat, transmiterea acestor date, spre exemplu într-o procedură judiciară cu autorizare specială din partea organului judiciar, înlătură caracterul penal al faptei. În cazul celei de-a doua cerințe esențiale, este necesar ca datele de identificare transmise să facă parte din categoria datelor de identificare elecronice, cum ar fi numărul cardului bancar, data expirării, codul PIN, etc., transmiterea unor alte date de identificare, cum ar fi numele unei persoane, neconstituind infracțiune. Ultima cerință este calificată prin scop, astfel transmiterea datelor de identificare trebuie realizată având ca scop efectuarea unei operațiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri, fără consimțământul titularului.
Practica judiciară a organelor cu atribuții în acest sens, a evidențiat că această variantă capătă valențe din ce în ce mai mari. Astfel transmiterea datelor de identificare apare ca o operațiune mult mai simplă față de falsificarea cardurilor, fiind preferată valorificarea acestor date, în acest caz făptuitorul expunându-se unui risc minim descoperire a activității sale infracționale. Astfel, având în vedere numărul mare de oferte de vânzare, adăugate pe diverse site-uri și forumuri, a acestor date de identificare electronică, este de discutat dacă pericolul social al acestei variante atenuate, este mai mic decât cel al variantei tip.
Urmarea imediată constă în producerea unei stări de pericol pentru activitatea de comerț electronic, pentru instrumentele de plată electronică și pentru încrederea societății în sistemul financiar. Nu este necesară producerea unui prejudiciu, deși de cele mai multe ori acesta există, pentru consumarea infracțiunii neimpunându-se această condiție.
Raportul de cauzalitate rezultă însăși din materialitate faptei, ex re.
Latura subiectivă
Sub aspectul laturii subiective, infracțiunea de efectuare de operațiuni financiare în mod fraudulos poate fi comisă, în varianta tip și varianta asimilată, doar cu intenție directă sau indirectă. În cazul variantei atenuate, infracțiunea poate fi comisă doar prin intenție directă calificată prin scop.
Actele pregătiroare sunt posibile, dar neincriminate. Totuși dacă actele pregătitoare realizează conținutul constitutiv al altei infracțiuni, ele vor fi incriminate ca atare.
Conform articolului 252 C.pen., tentativa se pedepsește, iar infracțiunea este considerată ca fiind consumată în momentul producerii urmării imediate.
De asemenea infracțiunea este susceptibilă a fi comisă și în formă continuată, motiv pentru care ea poate avea și o formă epuizată.
Sub aspectul legii penale mai favorabile, observăm că prezenta reglementare este legea mai favorabilă având în vedere criteriul pedepsei, legiuitorul reducând drastic limitele pedepsei în noua reglementare.
Acceptarea operațiunilor financiare efectuate în mod fraudulos
Conținutul legal
Conținutul legal al infracțiunii de acceptare a operațiunilor financiare efectuate în mod fraudulos este prevăzut în cuprinsul art. 251 C. Pen. Infracțiunea este prevăzută într-o variantă tip și o variantă asimilată. Varianta tip constă în acceptarea unei operațiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori transfer de fonduri, cunoscând că este efectuată prin folosirea unui instrument de plată electronică falsificat sau utilizat fără consimțământul titularului său. Varianta asimilată constă în acceptarea uneia dintre operațiunile prevăzute în alin.(1), cunoscând că este efectuată prin utilizarea neautorizată a oricăror date de identificare sau prin utilizarea de date de identificare fictive.
Obiectul infracțiunii
Obiectul juridic este identic cu al infracțiunii mai sus prezentate și este reprezentat de spectrul de relații sociale ce asigură protecția activității electronice de comerț precum și fasciculul de relații cu privire la autenticitatea datelor informatice precum și relațiile în legătură cu încrederea publică în instituțiile financiar-bancare.
Infracțiunea de acceptare a operațiunilor financiare efectuate în mod fraudulos nu are obiect material, deoarece acceptarea acestor infracțiuni nu este sinonimă cu primirea instrumentului de plată electronică ci semnifică acceptarea ttranzacției.
Subiecții infracțiunii
Subiectul activ este calificat, putând fi orice persoană care îndeplinește condițiile răspunderii penale și care se află în într-o relație contractuală cu o instituție financiară sau bancară sau care, în baza fișei postului și a contractului individual de muncă, este persoana responsabilă de acceptarea operațiunilor financiare în care este implicată societatea pentru care aceasta lucrează.
Subiect pasiv principal este statul ca garant al activității de efectuare în condiții de legalitate a comerțului electronic. De asemenea poate exista și un subiect pasiv secundar care poate fi, după caz, titularul instrumentului de plată utilizat sau titularul datelor de identificare utilizate.
Latura obiectivă
Elementul material al infracțiunii de acceptare de operațiuni financiare în mod fraudulos poate fi realizat printr-o acțiune sau inacțiune de acceptare a unei operațiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri.
Prin noțiunea de acceptare înțelegem un întreg șir de activități cum ar fi inițierea, continuarea sau aprobarea tranzacției. Astfel comite infracțiunea casierul care acceptă plata cu un card despre care știe că este falsificat.
Această infracțiune presupune și o cerință esențială, astfel făptuitorul trebuie să cunoască faptul că operațiunea incriminată este efectuată prin folosirea unui instrument de plată electronică falsificat sau că este utilizat fără acordul titularului său.
Această infracțiune nu se regăsește in practica judiciară română, datorită reglementării unei situații specifice respectiv, în principiu, situția în care un comerciant acceptă, cu bună-știință, un card clonat sau falsificat. Situația în care, comerciantul acceptă un card adevărat, emis de o instituție financiară, dar despre care știe că este utilizat fără acordul titularului său, este de asemenea una excepțională, foarte greu de dovedit în practică, dat fiind caracterul său subiectiv.
Urmarea imediată constă în producerea unei stări de pericol pentru activitatea de comerț electronic. Această infracțiune poate avea și un prejudiciu material important, însă el nu este necesar pentru consumarea infracțiunii.
Legătura de cauzalitate trebuie să existe și, să fie dovedită legătura dintre urmarea imediată și elementul material al infracțiunii.
Latura subiectivă
Infracțiunea de acceptare de operațiuni financiare efectuate în mod fraudulos poate fi săvârșită doar cu intenție directă. Astfel făptuitorul trebuie trebuie să aibe reprezentarea faptei sale, să fie conștient de acceptarea operațiunii financiare în mod fraudulos sau fără acordul titularului.
În practică, poate apărea situația în care, comerciantul, acceptă un card falsificat sau clonat, dar care fără să îl verifice, deși avea această obligație, sau din neatenție, acceptă operațiunea financiară. Pe cale de consecință, de lege ferenda, se impune incriminarea culpei. Astfel, acceptatorul operațiunii financiare, va verifica autenticitatea instrumentului de plată, prevenind astfel realizarea urmării imediate precum și a prejudicierii titularului.
Atât actele pregătitoare, cât și tentativa sunt posibile dar doar aceasta din urmă este incriminată, conform dispozițiilor art. 252 C.pen.
Falsificarea de titluri de credit sau instrumente de plată
Conținutul legal
Infracțiunea de falsificare de titluri de credit este prevăzută, în dispozițiile art.311 C.pen., într-o variantă tip și o variantă agravată. Astfel, în varianta tip, este pedepsită fapta de a falsifica titluri de credit, titluri sau instrumente pentru efectuarea plăților sau a oricăror altor titluri ori valori asemănătoare. Varianta agravată, prevăzută în alin. (2), constă în falsificarea unui instrument de plată electronică.
Art. 311 alin (1) are corespondent dispozițiile art. 282 alin.(1) din C.pen. anterior, în care erau incriminate, pe lângă falsificarea de titluri de credit și instrumente de plată, falsificarea de monede. Soluția adoptată de legiuitor în Codul Penal actual apare ca fiind una justificată, dat fiind pericolul social abstract diferit al celor două incriminări. De asemenea și în legislația europeană, aceste fapte sunt incriminate diferit: Codul penal francez reglementează infracțiunea de falsificare de monede în art. 442-1 și falsificarea titlurilor sau a altor valori în art. 443-1; Codul penal german reglementează infracțiunea de falsificare de monede în art. 146 și infracțiunea de falsificare a cărților de plată și a eurocecurilor în art. 152; Codul penal spaniol reglementează infracțiunea de falsificare de monede în art. 386, iar infracțiunea de falsificare de documente oficiale în art. 390. Pe cale de consecință și legiuitorul român a incriminat în mod distinct cele două infracțiuni, respectic infracțiunea de falsificare de monede în art. 310 și infracțiunea de falsificare de titluri de credit sau instrumente de plată în art. 311.
Art. 311 alin. (2) nu are corespondent în Codul penal anterior, ci în art. 24 din Legea 365/2002 privind comerțul electronic.
Obiectul infracțiunii
Obiectul juridic al infracțiunii de falsificare de titluri de credit sau instrumente de plată este constituit din fasciculul de relații privind încrederea publică în titlurile de credit precum și în instrumentele de plată.
Obiectul material este diferit, după cum acțiunea incriminată constă în falsificarea de titluri de credit, falsificarea de titluri sau instrumente pentru efectuarea plăților sau a oricăror altor titluri sau valori asemănătoare, precum și falsificarea unui instrument de plată electronică. Astfel rezultă că obiectul material este titlul de credit, instrumentul pentru efectuarea plăților sau a oricăror altor titluri sau valori asemănătoare precum și instrumentul de plată electronică. Sub aspectul domeniului infracțiunilor informatice, primele două obiecte materiale nu prezintă interes din acest punct de vedere, urmând să ne limităm doar la studiul instrumentului de plată electronică. Pentru explicațiile privind instrumentul de plată electronică, facem trimitere la cele redate anterior.
Subiecții infracțiunii
Subiectul activ al infracțiunii analizate poate fi orice persoană care îndeplinește condițiile răspunderii penale și care poate răspunde din punct de vedere penal.
Participația este posibilă sub toate formele sale.
Subiect pasiv principal este instituția care a emis titlul de credit ori instrumentul de plată falsificat. În subsidiar, poate exista și un subiect pasiv secundar și, anume persoana prejudiciată prin falsificarea titlului sau instrumentului de plată.
Latura obiectivă
Varianta tip a infracțiunii prevăzută în art. 311 alin. (1) nu prezintă interes sub aspectul domeniului infracțiunilor informatice, așadar ne vom rezuma la analiza variantei agravate reglementate de art. 311 alin. (2).
Elementul material al laturii obiective, în varianta agravată analizată, constă în acțiunea de falsificare a unui instrument de plată electronică.
Falsificarea unui instrument de plată electronică presupune două etape: captarea informațiilor instrumentului de plată electronică și contrafacerea propriu-zisă a instrumentului de plată electronică. Captarea informațiilor poate fi realizată prin diverse metode, de la cele mai simple, cum ar fi vizualizarea cardului și copierea datelor de identificare ale acestuia, fotografierea instrumentului de plată împreună cu informațiile imprimate sau serigrafiate pe acesta, surprinderea codului PIN, etc., sau folosirea unor tehnici complicate și a unor dispozitive electronice. A doua etapă constă în duplicarea informațiilor preluate, prin înscrierea acestora pe un card blank (gol) folosind softuri specifice și instrumente tehnice dedicate.
În practică cea mai folosită metodă de săvârșire a infracțiunii o constituie skymming-ul. Prin skymming definim operațiunea de furt ale datelor de identificare ale unui card ce poate fi folosit prin în tranzacții legitime. Făptuitorul intră în posesia datelor de identificare ale cardului victimei, folosind un mic dispozitiv electronic, denumit skymmer, copiind și stocând astfel numeroase asemenea date. În argou skimmer-ul este denumit „pisicuță”. Folosirea skymmer-ului este restricționată doar de abilitatea, fantezia și cunoștințele tehnice ale făptuitorului. Astfel, această metodă, este des folosită de personalul nemulțumit de condițiile de salarizare, sau care a identificat o oportunitate de îmbogățire rapidă a barurilor, restaurantelor și a altor asemenea,unde clientul din comoditate, înmânează cardul chelnerilor, barmanilor sau ospătarilor, pentru plata unor sume mici, de până în 100 lei. Pentru plata acestor sume, este folosită facilitatea contactless (fără atingere) a cardului, nefiind necesară utilizarea codului PIN. Făptuitorul, profitând de neatenția clientului, trece astfel cardul prin skimmer, sustrăgând și stocând astfel datele stocate pe card.
O altă metodă de skymming, constă în instalarea de skymmere în locașurile bancomatului prevăzute pentru introducerea cardurilor, concomitent cu amplasarea unor camere video ascunse, pentru aflarea codului PIN, aferent fiecărui card sau instalarea unei tastaturi capabilă să rețină atât codul PIN, cât și cardul căruia acesta îî revine.
Cu ajutorul datelor obținute, făptuitorul inscripționează un card „blank” folosind un dispozitiv electronic denumit inscriptor de carduri.
Trebuie menționat faptul că deținerea unor astfel de instrumente electronice cu scopul de a servi la falsificarea instrumentelor de plată electronice constituie infracțiunea de deținere de instrumente în vederea falsificării de valori.
Acest tip de infracțiune intră, cel mai adesea, în concurs cu infracțiunea de constituire a unui grup infracțional organizat, punere în circulație de instrumente de plată, efectuare de operațiuni financiare în mod fraudulos și infracțiunea de deținere de instrumente în vederea falsificării de valori.
Astfel, într-o speță, au fost trimiși in judecată inculpații S.M.A, M.D.F., D.A. și F.G.V. pentru săvârșirea infracțiunilor de constituire de grup infracțional, complicitate la falsificarea instrumentelor de plată electronice, deținerea de echipamente în vederea falsificării și efectuarea de operațiuni financiare în mod fraudulos, S.A.C., S.R.G și C.M.F pentru săvârșirea infracțiunilor de constituire de grup infracțional, falsificarea instrumentelor de plată electronice și deținerea de echipamente în vederea falsificării.
În fapt s-a reținut că inclpatul M.D.F. a achiziționat un dispozitiv pentru citirea cardurilor, pe care i l-a predat lui D.A., care la rândul lui i-a adus modificări și l-a adaptat pentru sustragerea datelor de identificare ale instrumentelor electronice de plată (carduri) . Aparatul predat, mai departe lui S.M.A, angajat al stației de carburant OMV Lugoj, care îl folosea la sustrageri de date. Astfel, S.M.A având dispozitivul ascuns pe corp și capul de citire, legat prin intermediul unui cablu de dispozitiv, ascuns în mâneca stângă a cămășii, a fost surprins în flagrant în timp ce sustrăgea datele de identificare ale clienților stației de carburant. Datele erau salvate într-o memorie electronică, pe care inculpatul S.M.A o descărca, la diferite intervale de timp, în calculatorul său personal. S.M.A. a racolat și alte persoane, printre care S.AC, C.M.F, F.G.V, care l-au ajutat la confecționarea cardurilor false cu ajutorul datelor sustrase de S.M.A.
În practica judiciară, operațiunea de skimming a fost catalogată ca fiind tentativă la infracțiunea de falsificare de instrumente de plată electronică. Astfel, fapta inculpatului de a instala dispozitive de copiere a datelor de identificare a cardurilor la diferite bancomate, date ce urmau să fie inscripționate pe carduri goale (blank) întrunește elementele constitutive ale infracțiunii de tentativă la infracțiunea de falsificare a instrumentelor de plată electronice.
Înalta Curte de Casație și Justiție, prin decizia nr. 15 din 14 Octombrie 2013 în soluționarea recursului în interesul legii, a stabilit faptul că „montarea la bancomat a dispozitivelor autonome de citire a benzii magnetice a cardului autentic și a codului PIN aferent acestuia (skimmere, minivideocamere sau dispozitive tip tastatură falsă) constituie infracțiunea prevăzută de art. 46 alin. (2) din Legea nr. 161/2003” actualmente prevăzută în art. 365 alin. (2) din C.pen.
Se poate constata, că simpla faptă de skimming, cu instrumentele juridice existente, nu poate incriminată și sancționată ca atare și, că datorită numărului mare de infracțiuni de acest tip, se impune, de lege ferenda, incriminarea distinctă a skimming-ului.
Datorită dezvoltării din ce în ce mai dezvoltate a tehnicii, au apărut noi metode de sustragere a datelor de identificare ale cardului. Una dintre acestea are la bază tehnologia RFID ce permite transmiterea, stocarea și inscripționarea datelor de la distanță, prin intermediul undelor radio. Cu ajutorul unui asemenea dispozitiv, făptuitorul se poate plimba pe o stradă aglomerată, fiind suficient de aproape de portmoneele victimelor, sustrăgând toate datele de identificare ale cardurilor din imediata sa apropiere. Singura modalitate de protecție împotriva acestui mod de operare o reprezintă păstrarea cardurilor în foițe de metal sau în portmonee căptușite cu metal, ce nu permit pătrunderea undelor radio.
Urmarea imediată a infracțiunii de falsificare de titluri de credit sau instrumente de plată constă într-o stare de pericol pentru relațiile sociale privind încrederea publică în titlurile de credit precum și în instrumentele de plată. Pentru realizarea urmării imediate, în cazul falsificării instrumentelor de plată electronice nu este necesar ca acestea să fie identice cu originalul. Astfel într-o speță, inculpații au cerut schimbarea încadrării juridice în infracțiunea prevăzută în art. 27 alin.(2) din Lg. 365/2002 privind comerțul electronic, actualmente art.250 alin. (2) din C.pen, din infracțiunea prevăzută în art. 24 alin.(2) din aceiași lege, actualmente art. 311 alin. (2) din Codul penal. Inculpații au motivat că, la comiterea infracțiunii au folosit cartele Metrorex, pe ale căror benzi magnetice erau inscripționate datele cardurilor, care nu sunt instrumente de plată electronică în sensul legii. Tribunalul a respins cererea de schimbare a încadrării juridice, argumentând faptul că „infracțiunea de falsificare a unui instrument de plată electronică nu presupune, în mod obligatoriu, o confecționare prin imitarea perfectă a unor astfel de dispozitive”, fiind suficient ca acestea să permită transferuri de fonduri, altele decât cele ordonate și executate de către instituțiile financiare, retrageri de numerar, precum și încărcarea și descărcarea unui instrument de monedă electronică.
Legătura de cauzalitate între acțiunea de falsificare a instrumentului de plată electronică și urmarea imediată trebuie să existe și rezultă din materialitatea faptelor, ex re.
Latura subiectivă
Infracțiunea de falsificare de titluri de credit sau instrumente de plată poate fi comisă, în varianta agravată de la alin. (2), doar cu intenție directă.
Mobilul și scopul nu au relevanță, ele vor fi luate în calcul doar la individualizării pedepselor.
Actele pregătitoare pot exista dar nu sunt incriminate. Fabricarea, primirea, deținerea sau transmiterea de echipamente, cu scopul de a servi la falsificarea instrumentelor de plată electronică, constituie infracțiune și se pedepsește conform art. 314 C. Penal.
Conform art. 311 alin. (3) din Codul Penal, tentativa la infracțiunea de falsificare de titluri de credit sau instrumente de plată se pedepsește.
Sub aspectul legii penale mai favorabile, se constată că legea nouă este mai favorabilă, sub aspectul criteriului pedepsei.
Punerea în circulație de valori falsificate
Conținutul legal
Conținutul legal al infracțiunii de punere în circulație de valori clasificare este prevăzut în cadrul art. 313 din Codul Penal într-o variantă tip, o variantă asimilată și o variantă atenuată.
Varianta tip, prevăzută în cuprinsul alin. (1) al art. 313, constă în punerea în circulație a valorilor falsificate prevăzute în art. 310-312, precum și primirea, deținerea sau transmiterea acestora, în vederea punerii lor în circulație.
Varianta asimilată, de la alin.(2), prevede faptul că punerea în circulație a valorilor arătate în art. 310-312, săvârșită de către autor sau un participant la infracțiunea de falsificare este incriminată.
În final, variantă atenuată, alin.(3) art. 311, constă în repunerea în circulație a uneia dintre valorile arătate în art. 310-312, de către o persoană care a constatat, ulterior intrării în posesia acesteia, că este falsificată.
Infracțiunea de punere în circulație de valori falsificate, în raport cu vechiul Cod Penal, nu a fost incriminată de dispozițiile acestuia din urmă, cu o asemenea denumire marginală, ci a fost incriminată, în dispozițiile art. 282 alin.(2) din C.Pen. anterior, ca o variantă asimilată a infracțiunii de falsificare de monede sau alte valori și consta în punerea în circulație, în orice mod, a valorilor arătate în alineatul precedent sau deținerea în vederea punerii lor în circulație. Totodată, punerea în circulație de valori falsificate, era incriminată identic și în cuprinsul Legii 365/2002 în art. 24 alin.(2).
Obiectul infracțiunii
Obiectul juridic este comun cu cel al infracțiunilor de fals și, constă în fasciculul de relații privind încrederea publică în titlurile de credit precum și în instrumentele de plată.
Obiectul material al infracțiunii de punere în circulație de valori falsificate poate fi constituit din oricare dintre valorile falsificate arătate de dispozițiile art. 310-312, mijloacele de plată electronice fiind doar unul dintre ele, menționat expres de dispozițiile art. 311 alin.(2).
Subiecții infracțiunii
Subiectul activ al infracțiunii de punere în circulație de valori falsificate poate fi orice persoană care poate răpunde din punct de vedere penal și care are capacitate penală, cu excepția autorului sau a participantului la infracțiunea de falsificare prevăzută de art. 310-312 C.pen. deoarece aceștia sunt subiecți activi în cazul variantei asimilate prevăzute de art. 313 alin. (2) C.pen.
În cazul variantei atenuate, de la alin. (3), subiect activ al infracțiunii poate fi doar o persoană care a constatat, ulterior intrării în posesia valorii falsificate repuse de către acesta în circulație, că este falsificată.
Subiectul pasiv este același cu al infracțiunii din care provine valoarea falsificată și anume, organul sau instituția care a emis valoarea falsificată. Poate exista și un subiect pasiv secundar reprezentat de persoana fizică sau juridică prejudiciată prin punerea în circulație a valorii falsificate, sau care a achiziționat sau a intrat în posesia valorii falsificate.
Latura obiectivă
Elementul material al laturii obiective, în varianta tip a infracțiunii poate fi realizat prin punerea în circulație a valorilor falsificate la care fac referire art. 310-312 C.pen. precum și prin deținerea, primirea sau transmiterea acestora în scopul punerii lor în circulație.
Prin sintagma „punerea în circulație”, în contextul infracțiunilor informatice, practica judiciară este de acord că folosirea unor carduri falsificate pentru retragerea de numerar, constituie infracțiunea de punere în circulație de valori falsificate. Practica judiciară este majoritară în privința înțelesului expresiei de punere în circulație. Astfel, într-o speță, în sarcina inculpaților s-a reținut că, pe mai multe bancomate aparținând BCR, au montat dispozitive artizanale cu ajutorul cărora au copiat datele inscripționate pe benzile magnetice ale cardurilor și cu ajutorul unei camere video miniaturale au filmat codurile PIN ale respectivelor carduri. Inculpații au prelucrat datele obținute, inscripționându-le pe cartele PVC cu bandă magnetică cu ajutorul cărora au retras diferite sume de bani de la diverse bancomate, din conturile aferente cardurilor clonate. Astfel, instanța a reținut că punerea în circulație a instrumentelor de plată electronică „presupune introducerea în sfera ori circuitul în care în mod normal instrumentele de plată electronică își îndeplinesc funcția lor adevărată”.Astfel judecătorul a apreciat că retragerea de numerar de la un baancomat, folosind un card falsificat, reprezintă o punere în circulație a acestuia, el fiind astfel introdus în circuitul civil, în locul în care acesta este utilizat în mod normal.
Evident, elementul material al infracțiunii de punere în circulație de valori falsificate, în speță instrumentele de plată electronice, nu se realizează doar prin modalitatea expusă anterior, ci și prin primirea, deținerea sau transmiterea acestor valori în vederea punerii lor în circulație. În aceste modalități făptuitorii remit instrumentul de plată electronică falsificat unor altor persoane, care fiind interesate doar de funcționalitatea acestuia și mai puțin de aspect, cu greu vor putea dovedi faptul că nu le-au achiziționat sau primit în scopul punerii lor în circulație. Pe cale de consecință, rezultă două cerințe esențiale pentru reținerea infracțiunii. Prima cerință constă în faptul ca valorile puse în circulație să fie dintre cele arătate în art. 310-312, respectiv sub aspectul obiectului de studiu al infracțiunilor informatice, mijloacele electronice de plată. A doua cerință esențială este aceea ca primirea, deținerea sau transmiterea instrumentelor de plată electronice să se facă în vederea punerii lor în circulație.
În cazul variantei asimilate, de la alin. (2), elementul material al laturii obiective poate fi realizat doar prin punerea în circulație a valorilor falsificate de către autor sau participant la infracțiunea de falsificare prin care au produse, întrucât celelalte acțiuni, respectiv primirea, deținerea sau transmiterea, pot fi comise doar de către o persoană străină procesului de falsificare.
În cazul variantei atenuate, de la alin. (3),elementul material al laturii obiective poate fi realizat prin repunerea în circulație, a uneia dintre valorile arătate în art.310-312, de către o persoană care a constatat, ulterior intrării în posesia acesteia, că este falsificată. Pe cale de consecință, rezultă faptul că autorul trebuie să aibă reprezentarea faptului că valoarea arătată în art.310-312, este falsificată, în caz contrar neputându-se reține vinovăția acestuia.
Urmarea imediată constă într-o stare de pericol pentru relațiile sociale ce dercurg din pătrunderea în circuitul civil a produselor falsificate.
Legătura de cauzalitate trebuie să existe și să fie dovedită legătura dintre urmarea periculoasă și elementul material.
Latura subiectivă
Sub aspectul laturii subiective, constatăm că infracțiunea de punere în circulație de valori falsificate se poate realiza doar cu intenție. Cu alte cuvinte, este necesar ca făptuitorul să aibă reprezentarea că valorile pe care le pune în circulație sau pe care le primește, deține sau transmite, sunt cele prevăzute în art. 310-312. Totodată, dacă valorile falsificate au fost primite spre păstare cu bună credință, în sensul că cel care le-a primit în păstrare nu cunoștea originea lor ilegală, necunoscând faptul că acestea sunt falsificate, fapta nu constituie infracțiune. Dacă ulterior persoana care a primit în păstrare valorile află că acestea sunt falsificate și că scopul în care le-a primit este acela de a le pune în circulație, fapta capată relevanță din punct de vedere penal, constituind astfel infracțiunea de punere în circulație de valori falsificate.
Prezintă relevanță din punctul de vedere al laturii subiective doar scopul, nu și mobilul. Astfel scopul constituie o cerința esențială, dacă fapta este comisă în varianta primirii, deținerii sau transmiterii valorilor falsificate, în scopul punerii lor în circulație.
Actele pregătitoare pot exista, dar nu sunt pedepsite. Tentativa este posibilă și incriminată în dispozițiile art. 313 alin.(4) din Codul Penal.
Consumarea infracțiunii are loc în momentul în care se realizează punerea în circulație a valorilor falsificate prevăzute în art. 310-312, sau când primirea, deținerea sau transmiterea acestora se realizează în scopul punerii lor în circulație.
Sub aspectul legii penale mai favorabile, se poate constata că, sub aspectul regimului sancționator, dispozițiile art. 313 din C.pen. sunt mai blânde față de vechea reglementare a infracțiunii de punere în circulație de valori falsificate din art. 24 alin. (2) din Legea nr. 365/2002. Sub aspectul conținutului, constatăm că cele două reglementări sunt similare.
Falsul informatic
Conținutul legal
Infracțiunea de fals informatic este prevăzută în cuprinsul art. 325 din C. pen. într-o singură variantă tip și constă în incriminarea faptei de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice.
Infracțiunea de fals informatic prevăzută în art. 325 C.pen. are corespondent în dispozițiile art. 48 din Legea 161/2003, fiind identică cu aceasta.
Obiectul infracțiunii
Obiectul juridic este reprezentat de spectrul de relații sociale cu privire la încrederea publică în siguranța, autenticitatea, validitatea și integritatea datelor informatice .
Obiectul material constă în suportul sau entitatea pe care se află stocate datele informatice. Pentru definirea noțiunii de „date informatice” facem trimitere la explicațiile redate anterior.
Subiecții infracțiunii
Subiect activ al infracțiunii poate fi orice persoană fizică sau juridică care are capacitate penală și care poate răspunde din punct de vedere penal. Deși nu este cerută cerința calificării subiectului activ, acesta este, de regulă, o persoană inițiată în tehnologia informatică sau o persoană care are acces la date și baze de date informatice.
Participația penală este posibilă în toate formele sale.
Subiectul pasiv al infracțiunii de fals informatic poate fi orice persoană care este afectată de producerea unor consecințe juridice ca urmare a acțiunilor făptuitorului de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date.
Latura obiectivă
Elementul material al infracțiunii de fals informatic prevăzută în art. 325 poate fi realizat printr-o acțiune alternativă de introducere, modificare, ștergere sau de restricționare a accesului la aceste date. Întrucât aceste acțiuni au fost analizate în cadrul infracțiunii de fraudă informatică, facem trimitere la acestea, ele realizându-se într-un mod similar.
Cerința esențială a infracțiunii este ca aceste acțiuni să se realizeze fără drept. Considerăm suficiente și clare explicațiile oferite în art. 35 alin. (2) din Legea 161/2003, care prevăd faptul că acționează fără drept persoana care :
nu este autorizată, în temeiul legii sau al unui contract;
depășește limitele autorizării;
nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.
Se poate observa că infracțiunile de fraudă informatică și fals informatic au modalități de săvârșire similare. Așa cum s-a afirmat în literatura de specialitate, deosebirea dintre cele două infracțiuni constă în valoarea socială lezată și anume relațiile de natură patrimonială în cazul fraudei informatice și încrederea publică în siguranța, autenticitatea, validitatea și integritatea datelor informatice în cazul infracțunii de fals informatic.
Una dintre situațiile cele mai de întâlnite, în care practica judiciară a reținut infracțiunea de fals informatic , este cea în care se folosește tehnica phishing. Astfel a săvârșit această infracțiune inculpațul G.C., care în cursul anului 2009 a declanșat un atac de tip phishing împotriva clienților Raiffeisen Bank . Phishing-ul constă în clonarea unor pagini web a unor diferite instituții, care sunt transmise către căsuțele de email ale victimelor prin spam, care sunt invitate, sub pretextul a diferite motive, să introducă datele confidențiale de acces ale conturilor și cardurilor bancare, date ce ajung în posesia făptuitorilor ce le pot folosi ulterior la comiterea unor altor infracțiuni. Astfel G.C. a clonat pagina web a băncii Raiffeisen Bank, după care a trimis un număr de mesaje de tip spam clienților băncii în vederea obținerii datelor confidențiale bancare ale acestora.
Din punct de vedere tehnic, phishing-ul presupune trei etape. Astfel în prima etapă se realizează conturi email fictive sau sunt simulate conturi de email reale, în scopul de a induce în eroare victima.Aceasta are reprezentarea că aceste adrese de email, fictive sau simulate, aparțin unui expeditor legitim. În cea de-a două etapă, făptuitorul elaborează un mesaj ce are ca scop determinarea victimei să acceseze pagina web contrafăcută, ce se află în controlul făptuitorului. Spre exemplu clienții Raiffeisen Bank România, au primit următorul mesaj în cadrul unui atac de tip phishing:
„Stimate Client,
Raiffeisen Online este cu tine oriunde te duci, myBanking este propriul tău ghișeu bancar pe telefonul mobil. Fără vizite la bancă, fără apeluri telefonice.
Disponibilitatea myBanking este accesibil oriunde în raza de acoperire Vodafone , Orange sau Cosmote, chiar și în roaming. Câștigi zilnic 250 RON zilnic prin activarea serviciului myBanking.
Dacă deja ai activat serviciul myBanking te rugăm să completezi formularul și să selectezi "Folosesc myBanking".
După completarea corectă a formularului atașat în maxim 24 de ore vei primi un sms de confirmare a activării iar în maxim 48 de ore suma de 250 RON va fi debitată pe cardul dumnevoastră Raiffeisen.
Atașat ai formularul de activare.
Cu stimă,
© Raiffeisen Bank Reușim Împreună.”
În fine, ultima etapă constă în realizarea unei pagini web false, astfel încât victimele să aibă reprezentarea faptului că au accesat o pagină reală și sigură, în care să introducă datele confindențiale personale, financiare sau bancare, aceste date ajungând în posesia infractorilor.
O altă metodă, în care practica judiciară judiciară a reținut infracțiunea de fals informatic, o reprezintă pharming-ul. Pharming-ul este un atac informatic ce constă în redirecționarea traficului unui site web către un altul, fals. Aceste atacuri se bazează pe exploaterea unei vulnerabilități a DNS-ului (Domain Name System). DNS-ul este un server ce „traduce” o adresă ce poate fi citită de om (ex. www.exemplu.com) într-o adresă numerică IP ce poate fi înțeleasă de calculator (ex. 172.16.254.1). Astfel o persoană care încearcă să acceseze pagina www.exemplu.com va trimite în mod automat o cerere către un server DNS și cere adresa site-ului. Serverul DNS răspunde cu adresa solicitată, site-ul este accesat și este returnat utilizatorului. În atacul de tip pharming serverul DNS este manipulat de către făptuitor astfel încât să răspundă cu o altă adresă decât cea a paginii reale. Adresa falsă conduce la o pagină web administrată de infractor, care este o clonă a paginii reale, unde utilizatorul va introduce datele confidențiale care ajung pe această cale la făptuitor.
Urmarea imediată constă în producerea unei stări de pericol pentru încrederea publică în siguranța, autenticitatea, validitatea și integritatea datelor informatice precum și în rezultarea unor date necorespunzătoare adevărului. De asemenea datele necorespunzătoare trebuie să utilizate în vederea producerii de unei consecințe juridice, în sensul că trebuie să fie susceptibile de a da naștere, modifica sau stinge raporturi juridice.
Raportul de cauzalitate trebuie să existe și să fie dovedită legătura dintre acțiunile ce formează elementul material al infracțiunii și urmarea imediată.
Latura subiectivă
Infracțiunea de fals informatic poate fi realizată doar cu intenție directă calificată prin scop. Prin urmare, datele necorespunzătoare adevărului trebuie să fie realizate în vederea producerii de consecințe juridice.
Actele preparatorii sunt posibile dar neincriminate. Tentativa este de asemenea posibilă, dar neincriminată.
Accesul ilegal la un sistem informatic
Conținutul legal
Infracțiunea de acces ilegal la un sistem informatic este prevăzută în art. 360 din C.pen. într-o variantă tip și două variante agravate.
Varianta tip constă în accesul, fără drept, la un sistem informatic.
Prima variantă agravată constă în săvârșirea accesului, fără drept, la un sistem informatic în scopul obținerii de date informatice.
Cea de-a doua variantă agravată, constă în săvârșirea faptei cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori.
Obiectul infracțiunii
Obiectul juridic constă în spectrul de relații cu privire la protejarea și securitatea sistemului informatic, inviolabilitatea acestuia precum și spectrul de relații cu privire la protecția integrității datelor informatice.
Obiectul material constă în entitățile materiale din care este alcătuit sistemul informatic. În literatura de specialitate s-a apreciat faptul că atunci când fapte se comite de la distanță, nu se poate vorbi de un obiect material. Este criticabilă această opinie, deorece, indiferent dacă accesul la un sistem informatic se realizează de la un dispozitiv periferic al acestuia (ex. tastatura) sau se realizează de la distanță folosind o conexiune internet, sunt accesate aceleași entități materiale ale sistemului informatic accesat. În cazul primei variante agravate achiesăm la opinia potrivit căreia obiectul material este suportul pe care se află stocate datele informatice, iar în cazul variantei agravate de la alin. (3) este reprezentat de dispozitivele sau entitățile materiale care stochează programe informatice sau măsuri de securitate, menite să protejeze datele și sistemele informatice.
În practica judiciară a ICCJ s-a apreciat că bancomatul constituie obiect material al infracțiunii de acces ilegal la un sistem informatic. Astfel, curtea a statuat „A.T.M.-ul este un mijloc de colectare, prelucrare și transmitere a unor date informatice, reprezentate de numărul de cont al titularului, care este stocat pe nivelul 2 al benzii magnetice de culoare neagră” și că „prin montarea skimmer – ului în fanta bancomatului, prin care se introduce cârdul și se realizează citirea bandei magnetice a fiecărui cârd în parte, stocându-se informația astfel obținută, au fost încălcate măsurile de securitate care aveau drept scop, asigurarea secretului numărului de cont și a operațiunilor efectuate și apărarea împotriva folosirii de către o altă persoană a acestor carduri în vederea fraudării”.
Subiecții infracțiunii
Subiectul activ este necircumstanțiat, putând fi orice persoană care are capacitate penală și care poate răspunde din punct de vedere penal. De regulă, în practica judiciară s-a evidențiat faptul că subiectul activ al infracțiunii de acces ilegal la un sistem informatic este o persoană care are aptitudini și abilități în domeniul tehnologiei informației sau sunt chiar angajați ai persoanei juridice ce posedă sistemul informatic la care se face accesul ilegal.
Participația este posibilă sub toate formele sale.
Subiect pasiv este proprietarul sau deținătorul, persoană fizică sau juridică, sistemului informatic la care se face accesul ilegal. Poate exista și un subiect pasiv secundar și anume persoana fizică sau juridică căruia i se aduce atingere drepturilor sale prin accesarea datelor informatice stocate pe sistemul informatic.
Latura obiectivă
Elementul material al infracțiunii poate fi realizat printr-o acțiune de acces, fără drept, la un sistem informatic. Noțiunea de „acces” este definită prin programarea, executarea unui program, interceptarea, instruirea, comunicarea, arhivarea, stocarea, recuperarea de date dintr-un computer, rețele de computere sau baze de date. Așadar accesul la un sistem informatic presupune o interferență a făptuitorului cu sistemul informatic accesal fără drept prin intermediul prin intermediul dispozitivelor periferice sau a diferitelor echipamente. Trimiterea unui fișier sau a unui mesaj electronic către un sistem informatic nu reprezintă, în sensul legii penale, acces ilegal la un sistem informatic. De asemenea, nu subzistă temeiurile infracțiunii de acces ilegal la un sistem informatic nici în cazul afișării unei pagini web, care se realizează prin trimitere și primire de pachete de date succesive. În acest caz, accesul se bazează pe o interacțiune de tip „cerere-răspuns” ce se face în condiții legale, scopul unei pagini web fiind acela de a fi vizitată.
O cerință esențială a acestei infracțiuni este ca accesul să se realizeze fără drept. Pentru explicații privind sintagma „fără drept” facem trimitere la cele oferite în cadrul infracțiunii de fals informatic.
Deținătorii sau proprietarii sistemelor aleg să își protejeze sistemele informatice prin diferite măsuri de protecție și de securitate. În doctrină, s-au evidențiat trei tipuri de măsuri de protecție. Astfel, măsurile de protecție pot fi fizice, atunci când spre exemplu, sistemul informatic este izolat într-o locație securizată sau când protecția sa este asigurată cu mijloace mecanice; logice, atunci când protecția este asigurată prin criptare, parole sau coduri de acces; procedurale, când protecția este realizată prin realizarea unor politici de securitate;
În cazul în care protecția este una de tip logică, făptuitorul, pentru a putea accesa sistemul, va încerca o serie de tehnici, cunoscute sub numele de „atacuri”. Atacurile pot fi atacuri prin parolă, atacuri care exploatează slăbiciunile tehnologice, atacuri de acces liber, atacul care exploatează bibiotecile partajate, atacul IP, etc.
Atacurile prin parolă pot fi atacuri prin forță brută (brute force attack) sau atacuri prin dicționar (dictionary attack). În atacul prin forță brută, făptuitorul folosește un program care va încerca progresiv fiecare combinație de caractere, începând de la cele mai simple până la cele mai complicate, până la găsirea parolei căutate. Reușita acestui tip de atac, ține de performanța sistemului informatic de la care se dă atacul, mai exact cu cât este mai performant sistemul cu atât va putea încerca un număr mai mare de conbinații pe secundă și, de complexitatea parolei. Astfel o parolă mai complexă va fi mult mai greu de „spart”. Experții în securitate informatică sfătuiesc utilizatorii să folosească parole cât mai lungi, care să conțină litere mari și mici, cifre și caractere alfanumerice (ex. @#$%^&*). Atacul cu dicționarul presupune o bază de date care conține cele mai utilizate nume de utilizator și parole. Astfel, avem de exemplu pentru utilizator „admin” și pentru parolă „password”, „qwertyuiop”, sau „1234567890”. Asemenea baze de date se găsesc pe internet, fiind actualizate în permanență cu cele mai noi tendințe în materie de user și parolă. Având o asemenea bază de date, făptuitorul, cu ajutorul unui program, va încerca fiecare user și parolă până la aflarea celor corecte.
Recursul în interesul legii soluționat prin decizia nr. 15 din 14 Octombrie 2013, promovat de Procurorul General al Parchetului de pe lângă Înalta Curte de Casație și Justiție, a rezolvat și controversa potrivit căreia accesarea unui bancomat prin montarea unor dispozitive autonome de citire a benzii magnetice, folosind fără drept un card clonat constituie infracțiunea de acces ilegal la un sistem informatic. În continuare considerăm relevantă opinia Procurorului General privind accesul ilegal la un sistem informatic, pe care o redăm integral: „Accesul fără drept la un sistem informatic presupune o interacțiune a făptuitorului cu tehnica de calcul. Prin intermediul echipamentelor agentul trimite solicitări către UCP (unitatea centrală de prelucrare) a sistemului, care va procesa date ori va rula programe de aplicații în beneficiul intrusului. Urmarea imediată constă într-o stare de pericol cu privire la siguranța sistemului informatic și/sau a resurselor sale. Dacă scopul accesului neautorizat a fost obținerea de date informatice, starea de pericol este dublată de atingerea adusă protecției datelor informatice stocate sau prelucrate de acesta. Încălcarea măsurilor de securitate determină o transformare efectivă adusă obiectului material al infracțiunii, și anume entităților materiale care compun sistemele informatice (calculatoare, rețele de calculatoare, elemente hardware – echipamente periferice, cabluri, plăci, servere etc. și software – programe, aplicații, baze de date etc.) sau datelor informatice vizate. Sub aspectul consecințelor pe care acțiunea incriminată le are asupra valorii sociale ocrotite, urmarea este tocmai starea de pericol, de amenințare, la adresa "domiciliului informatic". Legătura de cauzalitate între activitatea făptuitorului și urmarea produsă rezultă ex re, în cazul accesului neautorizat în formă simplă, respectiv trebuie demonstrată forțarea măsurilor de securitate (parole, coduri de acces etc.), în cazul formelor agravate.Obținerea datelor de pe banda magnetică a cadrului autentic se realizează în exteriorul bancomatului și fără ca dispozitivele menționate să între în vreun fel de conexiune cu sistemul informatic al băncii. În egală măsură, captarea codului PIN se realizează în exteriorul ATM-ului și nu presupune acces la sistemul informatic.
(…)Bancomatul, folosit conform destinației sale, este un terminal în cadrul unui sistem informatic din care mai fac parte toate celelalte terminale din rețeaua aceleiași bănci, serverul acesteia etc. Bancomatul este folosit conform destinației sale atunci când, prin intermediul său, se fac retragerea de numerar, plata furnizorilor de utilități, transferurile de fonduri, interogarea de sold. În toate aceste situații bancomatul condiționează accesul la baza de date a băncii. Dacă este folosit însă ca simplă entitate materială, suport fizic pentru dispozitivele prin care se realizează skimmingul, el nu se conectează la baza de date a băncii și nu își îndeplinește rolul de parte a unui sistem informatic.Citirea benzii magnetice a cardului autentic nu este condiționată de atașarea skimmerului la bancomat. Citirea benzii magnetice se face și printr-un dispozitiv de citire manual, lipsit de orice fel de conexiune cu sistemul bancar. Devine astfel evident că operațiunile prin care sunt citite datele de pe banda magnetică a cardului, concomitent cu captarea codului PIN aferent lui, reprezintă doar acte pregătitoare ale infracțiunii de acces fără drept la un sistem informatic: cum citirea datelor de pe banda magnetică a cardului nu este condiționată de atașarea dispozitivului electronic de citire la bancomat, aceeași activitate de captare a datelor de pe banda magnetică ar primi consecințe juridice diferite din cauza unei împrejurări extranee vreunei norme de incriminare – atașarea sau neatașarea skimmerului la bancomat.Așadar, operațiunea de citire a datelor de pe banda magnetică a cardului, prin atașarea skimmerului la bancomat, nu interacționează în niciun fel cu softul bancomatului, nu se realizează nicio solicitare către unitatea centrală de prelucrare a sistemului, care să proceseze date ori să ruleze programe de aplicații în beneficiul făptuitorului, astfel că infracțiunea de acces fără drept la sistemul informatic este lipsită de însuși elementul său material.”
De asemenea este deosebit de relevant punctul de vedere transmis de Institul pentru Tehnologii Avansate (ITA), cu privire la aspectele tehnice specifice, pe care îl redăm în totalitatea sa: „În segmentul terminal, destinat utilizatorilor, activitatea de fraudare presupune instalarea unui sistem de supraveghere format din două componente: un dispozitiv de skimming, destinat interceptării și memorării/transmiterii la distanță a datelor înscrise pe banda magnetică a cardurilor bancare, realizat în diferite forme constructive (un montaj electronic disimulat în diverse componente mecanice, potrivite ca formă, dimensiuni și culoare cu echipamentul original cu interfață pentru card bancar pe care se instalează ca, de exemplu, ATM, automat de plată a parcării sau combustibilului, un montaj electronic introdus în interiorul unui echipament tip POS; un dispozitiv artizanal sau comercial, de sine stătător), folosit în mod fraudulos de persoana căreia i-a fost înmânat cardul de către titular, în vederea unei tranzacții (de exemplu, de către recepționer, ospătar etc.); un dispozitiv de achiziție a codului PIN (cuprinde un dispozitiv electronic dotat cu cameră video, de exemplu, telefon mobil, mp4 player cu înregistrare, înregistrator video miniatural, dispozitiv video spion), disimulat în ornamente aflate în apropierea tastaturii la care utilizatorul introduce codul de siguranță și care înregistrează aceste momente sau un ansamblu format dintr-o tastatură falsă, care se montează deasupra tastaturii originale, și un montaj electronic care preia și memorează codul tastat de utilizator.Montajul electronic din interiorul dispozitivelor tip skimmer are o arhitectură alcătuită din: bloc de achiziție a datelor înscrise pe banda magnetică a cardurilor, reprezentat în general de un cap magnetic de citire cu una, două sau trei piste; bloc de conversie a semnalului analogic provenit de la capul magnetic în semnal digital, reprezentat în general de un circuit integrat de interfață de cap magnetic; bloc de prelucrare a datelor, reprezentat în general de un microcontroler de uz general; bloc de memorare a datelor, reprezentat în general de un circuit integrat de memorie nevolatilă, care își păstrează conținutul informațional și după întreruperea alimentării; bloc de comunicație, care realizează legătura și conversia datelor între interfața serială tip UART a microcontrolerului și interfața serială tip RS232 sau tip USB, specifice porturilor seriale ale unui sistem de calcul tip PC (uneori acest bloc este format doar dintro interfață hardware tip conector liniar artizanal, la care se leagă un cablu adaptor în care se află circuitul integrat cu funcția de conversie); bloc de alimentare.Montajul electronic poate fi de tip industrial, provenind dintr-un echipament comercial tip MSR, destinat citirii benzii magnetice a cardurilor, sau poate fi artizanal, realizat după o schemă proprie. În acest ultim caz, proiectantul poate folosi o modalitate de criptare a datelor la stocarea în circuitul de memorie, algoritm implementat prin programul rulat de microcontroler. De asemenea, acesta poate utiliza facilitatea de blocare la citire a programului ce rulează în microcontrolerul dispozitivului și, totodată, implementează o funcție proprie de descărcare a datelor în calculator, care decodifică datele transferate. Astfel, datele din memoria skimmer-ului pot fi accesate doar prin cunoașterea algoritmului de criptare din microcontroler și a aplicației ce rulează pe PC.Cardurile bancare conțin o bandă magnetică structurată, din punct de vedere al organizării datelor, pe 3 piste. Caracteristicile fizice ale cardurilor, dimensiunile, poziția pistelor și modul de înscriere a datelor sunt stabilite în mod unic de standardele ISO 7810, 7811, 7813, precizând densitățile de înregistrare, codarea caracterului și un conținut informațional. Datele informatice înscrise pe primele două piste (împreună cu codul PIN) reprezintă tot ceea ce este necesar pentru accesarea sistemului informatic al băncii, prin intermediul unor echipamente de tip bancomat sau POS, în vederea efectuării de operațiuni financiare.În fapt, prin montarea dispozitivelor tip skimmer peste fanta de introducere a cardului la un echipament cu interfață de card bancar, se realizează transferul neautorizat de date informatice din mijloacele de stocare a datelor informatice, reprezentate de toate cardurile bancare utilizate de titulari, în perioada în care sunt montate dispozitivele frauduloase.În limbaj informatic, copierea datelor dintr-un mijloc de stocare a datelor informatice reprezintă un transfer de date, fără a fi necesară ștergerea respectivelor date din mijlocul de stocare.Dispozitivele electronice dotate cu cameră video și utilizate pentru achiziția codurilor PIN provin, în marea majoritate a cazurilor analizate, din echipamente comerciale de uz general (telefoane mobile, mp4 playere cu înregistrare, înregistratoare video miniaturale, dispozitive video spion etc.), cărora le sunt îndepărtate carcasele, pentru reducerea dimensiunilor, iar acumulatorii originali sunt înlocuiți cu ansambluri de acumulatori cu durata de funcționare mărită.Poziționarea camerelor video permite vizualizarea, prin intermediul obiectivelor optice, a tastaturii echipamentelor cu interfață de card bancar. Dispozitivele în care se stochează înregistrările video ale momentelor în care utilizatorii introduc codul PIN sunt dotate cu memorie nevolatilă (circuite integrate sau carduri de memorie tip microSD), iar cele care transmit la distanță imaginile vizate sunt dotate cu emițătoare radio. Toate dispozitivele comerciale sunt dotate cu interfață serială, în general USB, accesibilă pe un conector standard tip USB, mini USB sau micro USB. Cu ajutorul unui cablu adaptor uzual, înregistrările sunt descărcate ulterior într-un sistem de calcul, iar rezoluția obiectivelor optice permite extragerea informației referitoare la codul PIN.În cazul montării unei tastaturi false deasupra tastaturii originale a unui echipament dotat cu interfață de card bancar, se urmărește preluarea și memorarea codului PIN tastat de utilizator. Dispozitivul artizanal conține un montaj electronic, a cărui arhitectură este alcătuită din: un bloc de prelucrare a datelor provenite de la tastatura falsă, tip microcontroler; un bloc de memorare; un bloc de comunicație, pentru interfațarea montajului cu un sistem de calcul în vederea descărcării informațiilor; un bloc de alimentare.Atât dispozitivul dotat cu cameră video, cât și dispozitivul ce încorporează o tastatură falsă permit interceptarea, fără drept, a transmisiei de date informatice care nu este publică și este destinată sistemului informatic al băncii, și anume codul PIN, un cod de securitate introdus de bancă pentru restricționarea accesului utilizatorilor neautorizați la sistemul informatic al băncii.Există numeroase variante de scheme electrice pentru dispozitivele electronice de fraudare a echipamentelor dotate cu interfață de card bancar. Toate montajele artizanale sau comerciale de citire a benzii magnetice a cardurilor au implementat un modul de ceas real (circuit integrat independent sau funcție internă a microcontrolerului) și introduc o etichetă temporală la fiecare înregistrare corespunzătoare citirii unui card. Dispozitivele comerciale de înregistrare video au, de asemenea, modul de ceas real. Corelarea temporală între înregistrările din memoria dispozitivului de citire a benzii magnetice și momentele de timp la care utilizatorii tastează codul PIN asigură asocierea între informațiile confidențiale corespunzătoare unui card: date informatice înscrise pe banda magnetică și date referitoare la codul de siguranță.În prezent, se constată tendința de exploatare la distanță atât a dispozitivelor frauduloase pentru interceptarea datelor memorate pe banda magnetică, cât și a celor pentru codul PIN. În cazul exploatării la distanță, blocurile de memorare și comunicație din schema electrică sunt înlocuite cu un emițător în infraroșu sau radio, care transmite în timp real datele interceptate către un receptor infraroșu/radio, aflat în proximitate și care include o componentă hardware de memorare a datelor. Pentru canalul de comunicație radio pot fi folosite emițătoare artizanale sau comerciale tip bluetooth.Oricare ar fi modul de realizare a fraudării echipamentelor dotate cu interfață de card bancar, dispozitivele descrise sunt concepute sau adaptate în scopul săvârșirii infracțiunii de acces, fără drept, la un sistem informatic, prin intermediul unor instrumente de plată electronică falsificate sau prin utilizarea, în același scop, a informațiilor obținute prin intermediul acestor dispozitive.”
În argumentarea soluției adoptate, Înalta Curte argumentează pe larg : „Folosirea la bancomat a unui card bancar autentic, fără acordul titularului său, în scopul efectuării unor retrageri de numerar, constituie infracțiunea de efectuare de operațiuni financiare în mod fraudulos prin utilizarea unui instrument de plată electronică, inclusiv a datelor de identificare care permit utilizarea acestuia, prevăzută de art. 27 alin. (1) din Legea nr. 365/2002, în concurs ideal cu infracțiunea de acces, fără drept, la un sistem informatic comisă în scopul obținerii de date informatice prin încălcarea măsurilor de securitate, prevăzută de art. 42 alin. (1), (2) și (3) din Legea nr. 161/2003.”
Urmarea imediată constă într-o stare de pericol ce este rezultată în urma accessării fără drept a sistemului informatic, precum și pentru relațiile privitoare la securitatea și inviolabilitatea sistemelor informatice.
Raportul de cauzalitate, rezultă din materialitatea faptelor, ex re, în cadrul variantei tip, iar în cazul variantelor agravate trebuie demonstrată forțarea măsurilor de siguranță (spargerea parolelor sau a codurilor de acces).
Latura subiectivă
Sub aspectul laturii subiective, infracțiunea de acces ilegal la un sistem informatic se poate realiza atât cu intenție directă cât și cu intenție indirectă. În cazul variantei de la alin. (2), fapta este mai gravă dacă este săvârșită în scopul obținerii de date informatice. Astfel, în cazul acestei variante, forma de vinovăție este intenția directă, fiind calificată prin scop. De asemenea, apreciem că, și în cazul ultimei variante, forma de vinovăție este intenția directă, deorece fapta este realizată prin intermediul unor proceduri, dispozitive sau programe specializate, făptuitorul prevăzând rezultatul faptei sale, urmărindu-l.
Actele pregătitoare sunt posibile iar tentativa este incriminată conform dispozițiilor art. 366 C.Pen.
Consumarea infracțiunii are loc la momentul obținerii accesului la sistemul informatic. Momentul exact în care s-a obținut accesul poate fi aflat prin proceduri specifice sau așa numitele „fișiere jurnal”.
Interceptarea ilegală a unor transmisii de date informatice
Conținutul legal
Infracțiunea de interceptare ilegală a unor transmisii de date informatice este prevăzută de dispozițiile art. 361 C. Pen, într-o variantă tip și o variantă asimilată. Varianta tip constă în pedepsirea faptei de a intercepta, fără drept, o transmisie de date informatice care nu este publică și care este destinată unui sistem informatic, provine sau este destinată unui astfel de sistem.
Varianta asimilată, alin. (2) art. 361, constă în pedepsirea cu aceeași pedeapsă a interceptării, fără drept, a unei emisii electromagnetice dintr-un sistem informatic, ce conține date care nu sunt publice.
Infracțiunea de interceptare ilegală a unor transmisii de date informatice a fost prevăzută, în mod identic, și de dispozițiile art. 43 din Legea 161/ 2003.
Obiectul infracțiunii
Obiectul juridic este unul complex, ce constă în totalitatea relațiilor sociale care privesc confidențialitatea datelor informatice, dreptul la o viață privată precum și dreptul la secretul corespondenței.
Cu privire la obiectul material, în literatura de specialitate au for formulate mai multe teorii. Astfel, într-o opinie se arată că obiecatul material al infracțiunii de interceptare ilegală a unor transmisii de date informatice este reprezentat de „fluxul de pachete informatice (succesiunea de biti de „0” și „1”, adică succesiunea de impulsuri electrice și/sau variații controlate ale tensiunii), care sunt transportate de la un achipament de calcul către altul sau în interiorul aceluiași sistem informatic și spre care se îndreaptă interesul făptuitorului”. Într-o altă opinie, se arată că obiectul material al infracțiunii constă în „suporturile materiale prin care se realizează comunicațiile și, mai ales, transferul de date pe calea comunicațiilor publice sau private și pe care sunt stocate datele informatice interceptate”. Obiectul material a fost definit în literatura de specialitate ca fiind lucrul sau persoana asupra căreia se exercită în mod direct actul de conduită ilicită. Pe cale de consecință, rezultă că datele informatice nu pot fi considerate obiect material al infracțiunii, ci doar suportul fizic pe care se află acestea.
Subiecții infracțiunii
Subiect activ al infracțiunii analizate poate fi orice persoană care îndeplinește condițiile răspunderii penale și care are capacitate penală, legea neprevăzând nicio condiție în acest sens. Participația este posibilă în toate formele sale.
Subiectul pasiv este reprezentat de persoana care realizează transmisia datelor informatice interceptate fără drept sau persoana prejudiciată în vreun fel prin interceptarea datelor informatice.
Latura obiectivă
Elementul material al infracțiunii poate fi realizat printr-o acțiune de interceptare realizată fără drept. Sintagma „fără drept” este comună infracțiunilor informatice și facem trimitere la explicațiile anterioare.
Art. 138 alin. (2) din C.Proc. Pen. definește interceptarea comunicațiilor ca interceptarea, accesul, monitorizarea, colectarea sau înregistrarea comunicărilor efectuate prin telefon, sistem informatic ori prin orice alt mijloc de comunicare. În literatura de specialitate, interceptarea a fost definită ca fiind „acțiunea de a capta, cu ajutorul unui dispozitiv electronic special fabricat în acest scop sau a unui computer, impulsurile electrice, variațiile de tensiune sau emisiile electromagnetice care tranzitează în interiorul unui sistem informatic sau se manifestă ca efect al funcționării acestuia ori se află pe traseul de legătură dintre două sau mai multe sisteme informatice care comunică”.
Din analiza dispozițiilor incriminatoare rezultă că pentru a constitui infracțiune, interceptarea unei transmisii de date informatice care nu este publică, trebuie să provină de la un sistem informatic, să fie destinată unui asemenea sistem sau să fie efectuată într-un asemenea sistem.
În Convenția privind criminalitatea informatică prevede incriminarea interceptărilor intenționate și fără drept, realizată prin mijloace tehnice, a transmisiilor de date informatice care nu sunt publice. Legiuitorul român a renunțat, în incriminarea infracțiunii, la expresia „mijloace tehnice”, deoarece este evident faptul că orice interceptare a unor transmisii va fi realizată prin mijloace tehnice.
Este necesară și analiza caracterului nepublic al transmisiei de date informatice. Astfel, într-un prim sens, conceptul de nepublic nu se referă la datele informatice transmise, care pot fi publice, ci la natura transmisiei care este nepublică. Astfel, deși datele informatice transmise pot fi publice, părțile doresc să realizeze transmisia acestora într-un cadru privat, restrâns. În cel de-al doilea sens, datele nu trebuie transmise printr-o rețea privată, ele pot fi transmise și printr-o rețea publică.
O altă chestiune, ce poate ridica probleme de interpretare, o reprezintă transmisiile de date informatice efectuate într-un sistem informatic. Această chestiune se referă la circularea datelor înăuntrul sistemului, spre exemplu de la unitatea centrală către un dispozitiv periferic, cum ar fi o imprimantă.
În cazul variantei asimilate, de la alin. (2), este prevăzută și interceptarea, fără drept, a unei emisii electromagnetice, provenind dintr-un sistem informatic. Astfel, orice dispozitiv electronic, emite radiații electromagnetice necontrolabile, ce se pot transmite atât prin aer cât și de-a lungul conductoarelor electrice, putând fi purtătoare de date informatice. Comiterea infracțiunii în această modalitate este greu de realizat, necesită cunoștințe avansate și echipamente tehnice costisitoare. În prezent, în România, nu a fost înregistrat un asemenea caz.
Urmarea imediată constă în producerea rezultatului celor două variante ale infracțiunii, anume interceptarea, fără drept, a unei transmisii de date informatice care nu este publică, respectiv a unei emisii electromagnetice. Nu este necesară producerea unui prejudiciu sau divulgarea datelor informatice.
Legătura de cauzalitate rezultă din materialitatea faptei, ex re.
Latura subiectivă
Cu privire la formele de vinovăție, în doctrină au apărut opinii divergente. Astfel, într-o variantă, se arată că infracțiunea de interceptare ilegală a unei transmisii de date informatice poate fi realizată atât cu intenție directă cât și cu intenție indirectă. Într-o altă variantă, la care achiesăm, se arată că infracțiunea poate fi comisă doar cu intenție directă, deoarece este imposibil ca făptuitorul să intercepteze transmisia de date informatice sau emisia electromagnetică fără să urmărească acest lucru.
Actele pregătitoare sunt posibile și neincriminate iar tentativa este pedepsită conform art. 366 C.Pen.
Consumarea infracțiunii are loc la momentul interceptării ilegale a transmisiei de date informatice care nu este publică sau a unei emisii electromagnetice.
Alterarea integrității datelor informatice
Conținutul legal
Infracțiunea de alterare a integrităților datelor informatice este prevăzută în art. 362 C.Pen., într-o singură variantă tip și constă modificarea, ștergerea sau deteriorarea datelor informatice ori restricționarea accesului la aceste date, fără drept. Infracțiunea a fost anterior prevăzută de dispozițiile art. 44 alin. (1) din Legea 161/2003.
Obiectul infracțiunii
Obiectul juridic este comun infracțiunilor informatice și constă în spectrul de relații cu privire la protejarea și securitatea sistemului informatic, inviolabilitatea acestuia precum și spectrul de relații cu privire la protecția integrității datelor informatice.
În cazul aceste infracțiuni, cu privire la obiectul material, în literatura de specialitate nu au existat controverse, fiind unanim acceptat faptul că obiectul juridic este reprezentat de suportul pe care se află stocate datele informatice modificate, șterse sau deteriorate.
Subiecții infracțiunii
Subiectul activ al infracțiunii este necircumstanțiat, putând fi orice persoană care are capacitate penală și care poate răspunde din punct de vedere penal.
Subiectul pasiv este reprezentat de persoana fizică sau juridică, proprietară a datelor informatice modificate, șterse sau deteriorate, ori căreia i-a fost restricționat accesul la aceste date.
Latura obiectivă
Elementul material al infracțiunii de alterare a integrității datelor informatice, poate consta într-o acțiune de a modifica, șterge sau deteriora datele informatice, ori într-o acțiune sau inacțiune alternativă de a restricționa accesul la aceste date.
Explicațiile referitoare la modalitățile prin care se poate realiza elementul material al infracțiunii, respectiv modificarea, ștergerea, deteriorarea datelor informatice sau restricționarea accesului la aceste date, au fost acordate în cadrul analizei infracțiunii de fraudă informatică și, întrucât acestea coincid nu le vom relua, din rațiuni evidente.
De asemenea, apare și cerința esențială a infracțiunii, respectiv faptele ce constituie elementul material al infracțiunii să fie realizate fără drept. A săvârșit infracțiunea, în această modalitate, inculpatul care fiind însărcinat cu administrarea și mentenanța site-urilor unei companii australiene, a accesat sistemele informatice și a procedat, fără drept, la modificarea de date informatice, respectiv la schimbarea datelor de autentificare.
În practica instanțelor române, s-a apreciat că fapta inculpatului de a obține accesul la contul Facebook al victimei, care s-a logat anterior pe acesta folosind computerul făptuitorului, și care a schimbat poza de profil a victimei, parola de acces la contul Facebook și a postat mesaje obscene, dându-se drept victimă, constituie infracțiunea de acces ilegal la un sistem informatic, prev. în art. 360 C.Pen, și infracțiunea de alterare a integrității datelor informatice, prev. în art. 362 C.Pen., ambele aflate în concurs.
Modalitatea clasică prin care se comite această infracțiune este prin infiltrarea unor programe de tip „virus”, „vierme” sau „worm”, „cal troian” sau „trojan horse”.
Virusul informatic este un program care se multiplică și infectează un sistem informatic fără voia utilizatorului. Virușii nu se pot răspândi singuri fiind necesar ca ei să fie atașați la un alt fișier, denumit fișier gazdă. Virusul este creat în scopul de a produce pagube sistemului informatic infectat, prin ștergerea de fișiere, restricționarea accesului la anumite date informatice sau „îngreunarea” sistemului informatic. Spre deosebire de virus, viermele informatic se poate auto-multiplica, nefiind nevoie să fie atașat unui fișier. Viermele poate produce importante prejudicii, prin aceea că poate ocupa mare parte a rețelei și se poate înmulți într-un numar mare de copii, eliminând celelalte programe ale victimei.
Calul troian este aparent un program util, dar care, în realitate, permite accesul făptuitorului la sistemul informatic infectat.
Urmarea imediată constă în afectarea datelor informatice prin modificarea, ștergerea sau deterioarea lor, ori în restricționarea accesului la aceste date.
Legătura de cauzalitate trebuie să existe și să fie dovedită legătura dintre elementul material și urmarea imediată a infracțiunii. Legătura de cauzalitate poate fi dovedită prin efectuarea unei expertize.
Latura subiectivă
Infracțiunea de alterarea a integrității datelor informatice este comisă cu intenție directă sau intenție indirectă. Totuși, în mare parte a cazurilor, infractorul acționează cu intenție directă, urmărind producerea unei pagube.
Actele pregătitoare sunt posibile dar neincriminate. Tentativa se pedepsește conform art. 366 C.Pen.
Consumarea infracțiunii are loc în momentul în care se produce urmarea imediată.
Perturbarea funcționării sistemelor informatice
Conținutul legal
Infracțiunea de perturbare a funcționării sistemelor informatice este prevăzută în cuprinsul art. 363 C.Pen., într-o singură variantă tip și, constă în fapta de a perturba grav, fără drept, funcționarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ștergerea sau deterioarea datelor informatice sau prin restricționarea accesului la aceste date.
Infracțiunea de perturbare a funcționării sistemelor informatice, prevăzută anterior în art. 45 din Legea 161/2003, este o infracțiune cu consecințe mult mai grave decât infracțiunile de alterare a integrității datelor informatice și acces ilegal la un sistem informatic. Astfel protecția sistemului informatic apare ca o condiție esențială în societatea modernă, având în vedere rolul central pe care îl ocupă sistemul informatic.
Obiectul infracțiunii
Obiectul juridic este reprezentat de fasciculul de relații în legătura cu asigurarea protecției sistemului informatic și asigurarea protecției datelor informatice.
Obiectul material este însuși sistemul informatic în ansamblul său, ca valoare ocrotită, sau după caz, suportul pe care se află stocate datele informatice.
Subiecții infracțiunii
Subiect activ al infracțiunii de perturbare a funcționării a sistemului informatic poate fi orice persoană care îndeplinește condițiile răspunderii penale și care are capacitate penală.
Subiectul pasiv este reprezentat de persoana fizică sau juridică, proprietară a sistemului informatic a cărei funcționare este perturbată. Poate exista și un subiect pasiv secundar, respectiv persoana care este prejudiciată prin introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor informatice.
Latura obiectivă
Sub aspectul laturii obiective, elementul material constă într-o acțiune de perturbare a sistemului informatic. Perturbarea funcționării sistemului informatic poate fi realizată prin introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor informatice sau prin restricționarea accesului la aceste date.
Legiuitorul a impus și trei condiții esențiale respectiv: perturbarea să fie gravă, să fie făcută fără drept și să fie realizată prin una din modalitățile enumerate.
Pentru ca perturbarea să fie gravă este necesar a fi făcută o analiză atentă. Astfel dacă perturbarea nu este gravă, se va reține infracțiunea de alterare a integrității datelor informatice. Legiuitorul nu a stabilit un criteriu în funcție de care să se facă diferențierea dintr-o perturbare gravă sau mai puțin gravă, așa cum de altfel recomandă și Convenția de Budapesta. Experții în securitate recomandă, în aprecierea gravității perturbării funcționării sistemului informatic, să se țină cont de mărimea prejudiciului.
Este necesar ca perturbarea să fie realizată fără drept, astfel nu se va putea reține infracțiunea în cazul autorizării prealabile a persoanei care a efectuat perturbarea.
Introducerea de date informatice poate da naștere la o perturbare gravă a sistemului informatic. Astfel avem în vedere, introducerea unor parametri incorecți, care pot afecta sistemul informatic. Spre exemplu avem în vedere situația operatorului unei centrale electrice, care prin introducerea de date informatice incorecte în sistemul informatic, poate afecta funcționarea întregului sistem energetic național. Și modificarea datelor informatice produce aceleași efecte ca introducerea lor în mod incorect.
Un sistem informatic poate fi perturbat grav și prin transmiterea de date informatice. Bineînțeles, nu orice transmitere de date afectează sistemul informatic, ci doar cele care pot duce la o supraîncărcare a porturilor de date. Este și cazul atacului informatic de tip Denial of Service (DoS) prin care atacatorii încarcă sistemul informatic cu solicitări false, astfel încât acesta din urmă se blochează, nemaiputând să răspundă unei solicitări reale.
Urmarea imediată constă în perturbarea gravă a sistemului informatic în urma acțiunilor enumerate de lege. Prin pertubarea funcționării sistemului informatic se înțelege „alterarea totală sau parțială a parametrilor funcționali ai acestuia, de natură să provoace un dezechilibru temporar sau permanent”.
Legătura de cauzalitate trebuie să existe și să fe dovedită prin expertiză.
Latura subiectivă
Sub aspectul laturii subiective, infracțiunea de perturbare a funcționării sistemului informatic se poate comite doar cu intenție.
Actele pregătitoare sunt posibile și neincriminate. Tentativa se pedepsește conform art. 366 C.Pen.
Infracțiunea se consideră a fi consumată la momentul producerii perturbării grave a sistemului informatic.
Operațiuni ilegale cu dispozitive sau programe informatice
Conținutul legal
Infracțiunea de operațiuni ilegale cu dispozitive sau programe informatice este prevăzută în art. 365 C.Pen. în două variante tip.
Prima variantă tip constă în incriminarea faptei persoanei care, fără drept, produce, importă, distribuie sau pune la dispoziție: a) dispozitive sau programe informatice concepute sau adaptate în scopul comiterii uneia dintre infracțiunile prev. în art. 360-364; b) parole, coduri de acces sau alte asemenea date informatice care permit accesul total sau parțial la un sistem informatic, în scopul săvârșirii uneia dintre infracțiunile prev. în art. 360-364;
A doua variantă tip constă în deținerea, fără drept, a unui dispozitiv, a unui program informatic, a unei parole, a unui cod de acces sau a altor date informatice dintre cele prevăzute în alin.(1), în scopul săvârșirii uneia dintre infracțiunile prevăzute în art. 360-364 C.Pen.
Infracțiunea a fost preluată, fără modificări de conținut, din dispozițiile art. 46 din Legea 161/2003.
Prin incriminarea acestei infracțiuni, legiuitorul a urmărit prevenirea infracțiunilor prevăzute în art. 360-364 C.Pen., prin limitarea accesului persoanelor la dispozitivele și instrumentele care permit săvârșirea de infracțiuni informatice și prevenirea apariției unei piețe de desfacere a acestor dispozitive și instrumente, cunoscute sub denumirea de „black market”.
Obiectul infracțiunii
Obiectul juridic este format din spectrul de relații cu privire la încrederea în datele informatice, dispozitivele și programele informatice.
Obiectul material este reprezentat de dispozitivele sau programele informatice (aflate pe un suport) sau după caz suportul pe care se află stocate programele informatice, parolele, codurile de acces sau alte date informatice.
Subiecții infracțiunii
Și în cazul acestei infracțiuni, subiectul activ este necalificat, putând fi orice persoană care are capacitate penală și care îndeplinește condițiile răspunderii penale.
Subiect pasiv este persoana, fizică sau juridică, care suferă un prejudiciu în urma comiterii, fără drept, a faptei de a produce, importa, distribui sau pune la dispoziție sub orice formă a unor dintre dispozitivele sau instrumentele necesare la săvârșirea infracțiunilor prevăzute de art. 360-364 C.Pen.
Latura obiectivă
În cazul variantei de la alin. (1), elementul material este format din acțiunile alternative de a produce, importa, distribui sau pune la dispoziție , fără drept, dispozitive, programe informatice, parole, coduri de acces sau alte asemenea date informatice, în scopul săvârșirii infracțiunilor prevăzute în art. 360-364 C.Pen.
Producerea unui dispozitiv reprezintă operațiunea tehnică prin care anumite componente electronice sunt asamblate împreună, rezultând un dispozitiv electronic nou (spre exemplu, confecționarea unui dispozitiv de tip skimmer). Prin producerea unui program informatic înțelegem operațiunea logică ce constă în crearea unui altgoritm și transpunerea sa în limbaj de programare (C++, Pascal, etc).
Prin „importare” înțelegem totalitatea operațiunilor economice prin care un dispozitiv sau un program informatic este adus în țară. Dacă prin importare, făptuitorul încalcă și alte dispoziții legale, cum ar fi cele din Codul Vamal, va răspunde, în fața legii, în mod corespunzător.
Prin „distribuire” înțelegem împărțirea sau repartizarea de dispozitive sau instrumente necesare la comiterea infracțiunilor prevăzute de art. 360-364 din C.Pen.
Punerea la dispoziție presupune facilitarea, în orice mod, la obținerea dispozitivelor sau instrumentelor menționate.
În cazul celei de-a doua variante tip, elementul material este reprezentat de deținerea, fără drept, a unui dispozitiv, program informatic, a unei parole, a unui cod de acces sau altor date informatice, în scopul săvârșirii uneia dintre infracțiunile prevăzute în art. 360-364 C.Pen.
În practica judiciară s-a stabilit că simpla montare la bancomat a unor dispozitive de tip skimmer, constituie infracțiunea de operațiuni ilegale cu dispozitive sau programe informatice.
Este necesar ca faptele descrise mai sus, să se realizeze fără drept. Astfel dacă există autorizarea prealabilă a făptuitorului sau dacă acesta a depășit limitele autorizării, fapta nu constituie infracțiune.
Urmarea imediată constă într-o stare de pericol pentru integritatea și încrederea în datele și sistemele informatice.
Legătura de cauzalitate rezultă ex re, din materialitatea faptelor.
Latura subiectivă
Infracțiunea prevăzută de art. 365 C.Pen. se comite prin intenție calificată prin scop. Este necesar ca faptele incriminate să fie săvârșite cu scopul comiterii infracțiunilor prevăzute în art. 360-364 C. Pen. Astfel, avem în vedere situația colecționarul care deține diferite dispozitive din cele arătate în dispozițiile art. 365 C.Pen., doar pentru plăcerea proprie. Deși este dificil de probat, că dispozitivele nu sunt deținute în scopul săvârșirii de infracțiuni, fapta nu va constitui infracțiunea de operațiuni ilegale cu dispozitive sau programe informatice.
Actele pregătiroare sunt posibile, dar neincriminate iar tentativa se pedepsește conform art. 366 C.Pen.
Infracțiunea se consumă la momentul producerii, importării, distribuției, punerii la dispoziție sau deținerii, fără drept, a dispozitivelor sau instrumentelor arătate.
Pornografia infantilă
Conținutul legal
Infracțiunea de pornografie infantilă este prevăzută în art. 374 C.Pen. într-o variantă agravată și o variantă atenuată.
Varianta tip constă în producerea, deținerea în vederea expunerii sau distribuirii, achiziționarea, stocarea, expunerea, promovarea, distribuirea, precum și punerea la dispoziție, în orice mod, de materiale pornografice cu minori. Varianta agravată, de la alin. (2), incriminează faptele prevăzute la alin. (1) când acestea au fost săvârșite printr-un sistem informatic sau printr-un alt mijloc de stocare a datelor informatice.
În fine, varianta atenuată de la alin. (3), incriminează fapta de a accesa, fără drept, de materiale pornografice cu minori, prin intermediul sistemelor informatice sau altor mijloace de comunicații electronice.
Dispozițiile incriminatoare sunt preluate, parțial, din art. 51 din Legea 161/2003, care se referă la pornografia infantilă prin sisteme informatice și parțial din art. 18 din Legea 678/2001, care se referă la pornografia infantilă în varianta tip, legiuitorul procedând la uniformizarea dreptului, prin incriminarea celor două dispoziții într-o singură infracțiune prevăzută de art. 374 C.Pen.
Obiectul infracțiunii
Obiectul juridic este reprezentat de spectrul de relații care aduc atingere conviețuirii sociale respectiv spectrul de relații privind protecția minorilor împotriva pornografiei infantile săvârșite prin intermediul sistemelor informatice.
Obiectul material al infracțiunii este reprezentat de suportul pe care se află materialele pornografice. Art. 374 alin.(4) din C.Pen., definește materialele pornografice ca fiind acele materiale care prezintă un minor având un comportament sexual explicit sau care, deși nu prezintă o persoană reală, simulează, în mod credibil, un minor având un astfel de comportament. Astfel poate fi considerat material pornografic orice desen, schiță, gravură, imprimate, filme, poze. Trebuie făcută distincția între un material pornografic cu minori și o operă de artă ce înfățișează un minor, dezbrăcat de exemplu. Astfel, tablourile, picturile în care apar prunci dezbrăcați, goi, nu constituie materiale pornografice. În acest caz, se va efectua o expertiză de către o persoană din domeniul artei, care să aprecieze dacă respectivul material este considerat a fi artă.
Subiecții infracțiunii
Subiect activ poate fi orice persoană care îndeplinește condițiile răspunderii penale și care are capacitate penală.
Subiect pasiv principal este statul, iar în mod secundar, minorul care apare în materialele pornografice.
Latura obiectivă
Sub aspectul laturii obiective, ne rezumăm doar la analiza acțiunilor ce prezintă interes din punct de vedere al infracțiunilor informatice.
Elementul material al infracțiunii constă într-o acțiune alternativă de producere, deținere în vederea expunerii sau distribuirii, achiziționare, stocare, expunere, promovare, distribuire, precum și punere la dispoziție, în orice mod, de materiale pornografice cu minori.
Producerea reprezintă operațiunea de fabricare, extragere și combinarea materialelor pornografice cu minori. Astfel de exemplu, reprezintă producere fapta persoane de a filma cu ajutorul unei camere video un minor în diverse ipostaze sexuale, după care montează materialele filmate cu ajutorul unui sistem informatic, realizând un film.
Este necesar ca deținerea să fie făcută în scopul expunerii sau distribuirii materialelor pornografice, în caz contrar acțiunile nu vor constitui element material al infracțiunii.
Prin „achiziționare” înțelegem acțiunea de procurare a materialelor pornografice, iar prin „stocare” înțelegem înscrierea acestor materiale pornografice pe o entitate materială (hard-disk). Astfel, comite fapta în această modalitate, persoana care achiziționează, contra cost, de pe un site materiale pornografice, ulterior stocându-le pe un hard-disk.
Expunerea și promovarea presupun arătarea materialelor pornografice publicului și facerea de publicitate a acestora.
Prin distribuirea materialelor pornografice înțelegem repartizarea, împărțirea acestor materiale, iar prin punerea la dispoziție înțelegem facilitarea accesului la aceste materiale.
Varianta agravată de la alin. (2) este pedepsită mai grav, datorită faptului că sistemul informatic ușurează comiterea faptei în toate modalitățile sale și datorită pericolului mai mare ca materialele pornografice să ajungă la mai multe persoane.
În literatura de specialitate s-a apreciat că varianta atenuată de alin. (3) reprezintă un exces de reglementare, deoarece simpla deținere a materialelor pornografice nu reprezintă infracțiune. Este criticabilă această opinie, deoarece scopul incriminării de către legiuitor, în opinia noastră, nu este acela de a reglementa excesiv, ci acela de a descuraja site-urile web clandestine care au ca obiect postarea de materiale pornografice cu minori, prin simplul fapt că, dacă acestea nu sunt vizitate, își vor înceta existența.
Urmarea imediată constă în producerea unei stări de pericol pentru valorile sociale protejate.
Legătura de cauzalitate rezultă ex re, din materialitatea faptei.
Latura subiectivă
Infracțiunea de pornografie infantilă se poate comite cu intenție directă sau intenție indirectă.
Actele pregătitoare sunt posibile iar tentativa este pedepsită conform art. 374 alin. (5) din Codul Penal.
Infracțiunea de pornografie infantilă este considerată a fi consumată la momentul producerii uneia dintre acțiunile incriminate, respectiv producerea, deținerea în vederea expunerii sau distribuirii, achiziționarea, stocarea, expunerea, promovarea, distribuirea, precum și punerea la dispoziție, în orice mod, de materiale pornografice cu minori.
Aspecte referitoare la concursul și teritorialitatea infracțiunilor informatice
Aspecte generale
In ultima decadă asistăm la o evoluție a societății datorată, în principal, dezvoltării semnificative a tehnologiei informatice. Astfel suntem martorii unei noi revoluții, și nu una industrială precum cea din secolele trecute, ci unei revoluții informatice. Cu ajutorul noilor tehnologii, adoptate pe scară largă, care nu au încetat să se dezvolte și perfecționeze, societatea a cunoscut o dezvoltare fără precedent, fiind totodată dependentă de acestea. O dată cu noile tehnologii au apărut și noi oportunități pentru infractori. Așadar, se pune problema diferențierii criminalității informatice de criminalitatea tradițională. Evident, principalul criteriu de diferențiere îl prezintă comiterea infracțiunii cu ajutorul unui sistem informatic. Prin „sistem informatic” în sensul legii penale înțelegem orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic. Astfel având în vedere criteriul de diferențiere al criminalității informatice față de criminalitatea tradițională și sensul noțiunii de sistem informatic, putem defini infracțiunile informatice ca fiind acele infracțiuni săvârșite prin intermediul sistemelor informatice, sau împotriva sistemelor informatice, a căror prevenire și combatere se face prin măsuri specifice de prevenire, descoperire și sancționare.
Teritorialitatea infracțiunilor informatice
O problemă ce se ridică, datorită caracterului transfrontalier al acestui tip de infracțiuni, o reprezintă teritorialitatea. Considerăm că teoria ubicuității se dovedește a fi insuficientă datorită facilitării apariției a numeroase conflicte pozitive de competență. Spre exemplu, un atac informatic este lansat de pe teritoriul României, folosind o conexiune asigurată de un satelit englezesc administrat de pe teritoriul SUA, împotriva unui site de naționalitate germană stocat pe un server din India. În literatura de specialitate s-au evidențiat cinci teorii cu privire la jurisdicția infracțiunilor informatice: teoria teritorialității, teoria naționalității, teoria personalității pasive, teoria protecționistă și teoria universalității.
Teoria teritorialității, adoptată și de dreptul nostru intern sub forma principiului teritorialității legii penale prevăzut în art. 8 din C.pen, prevede faptul că se aplică legea statului pe teritoriul căruia a fost comisă infracțiunea sau un act de executare.
Teoria naționalității, cunoscută în dreptul nostru sub forma principiului personalității legii penale, statuat în art. 9 din C.pen., prevede faptul că legea penală se aplică infracțiunilor săvârșite în afara teritoriului unei țări de către un cetățean al acesteia.
Teoria personalității pasive are în prim plan subiectul pasiv al infracțiunii, spre deosebire de teoria naționalității care are în vedere subiectul activ. Astfel, conform acestei teorii, se aplică legea statului pe teritoriul căruia se află subiectul pasiv al infracțiunii.
Teoria protecționistă, cunoscută în dreptul nostru intern drept principiul realității legii penale, prevăzut în art. 10 din C.pen., statuează faptul că jurisdicția aparține statului împotriva căruia s-a săvârșit o infracțiune sau împotriva cetățenilor săi.
Teoria universalității, sau în legislația română, principiul universalității legii penale, prevede faptul că se oferă posibilitatea fiecărui stat să revendice jurisdicția asupra infracțiunilor pe care statul respectiv s-a obligat, în temeiul unui tratat internațional, să o reprime.
Convenția Consiliului Europei privind criminalitatea informaticăclarifică, parțial însă, problematica conflictelor de competență ce pot apărea între state. Spunem parțial pentru că, prin art. 22 din Convenție, se lasă o libertate destul de mare statelor, în aprecierea măsurilor ce se dovedesc a fi necesare pentru stabilirea competenței acestora. Astfel, din analiza dispozițiilor art. 22 alin. (1) din Convenție, rezultă faptul că în aprecierea competenței asupra infracțiunilor informatice, statele sunt libere să aplice atât principiul teritorialității cât și pe cel al personalității. Deci, conform acestor dispoziții, fiecare parte va adopta măsurile legislative ce se dovedesc a fi necesare pentru stabilirea competenței sale, atunci când infracțiunea informatică este săvârșită pe teritoriul său, la bordul unui vas sub pavilionul acesteia sau la bordul unei aeronave înmatriculate în conformitate cu legislația statului care își asumă competența respectiv, atunci când infracțiunea este comisă de către unul din cetățenii statului semnatar al Convenției, dacă infracțiunea poate atrage răspunderea penală în locul în care aceasta a fost comisă sau dacă infracțiunea nu este de competența teritorială a nici unui stat. Totodată, alin.(2) al aceluiași art. 22 din Convenție, apare în opinia noastră, ca o contradicție a primului alineat, statuând faptul că fiecare parte își va putea rezerva dreptul de a aplica sau nu regulile de stabilire a competenței arătate mai sus. Practic, această dispoziție, acordă dreptul fiecărui stat de stabili regulile privitoare la competeța sa, ceea ce duce, în concluzie, la posibilitatea apariției a numeroase conflicte de competență. Pe cale de consecință, se impune, de lege ferenda, adoptarea unor norme internaționale imperative, care să elimine posibilitatea creării de conflicte de competență între state.
Concursul de infracțiuni informatice
O altă problemă, ce necesită a fi discutată, este cea a concursului de infracțiuni informatice. Astfel, comiterea unei fapte cu ajutorul sau împotriva unui sistem informatic, este susceptibilă să constituie conținutul constitutiv al mai multor infracțiuni.
Într-o primă etapă, se impune analizarea relației dintre infracțiunea de înșelăciune, prevăzută de art. 244 C.pen. și, infracțiunea de fraudă informatică, prevăzută în art. 250 C.pen. Infracțiunea de înșelăciune constă în prezentarea ca adevărată a unei fapte mincinoase sau ca mincinoasă a unei fapte adevărate, făptuitorul având drept scop obținerea unui folos material injust, pentru sine sau pentru altul, dacă s-a pricinuit o pagubă. Infracțiunea de fraudă informatică constă în fapta de a introduce, modifica sau șterge date informatice sau de a restricționa accesul la aceste date ori împiedicarea în orice mod a funcționării unui sistem informatic, având scopul de a obține un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane. Așadar, ținând cont de conținutul constitutiv al acestor infracțiuni, putem considera că fapta unei persoane de a publica un anunț fictiv , pe un site de comerț, care nu remite bunul din anunț, cu rea credință, deși a primit prețul de la victimă, constituie infracțiunea de înșelăciune sau infracțiunea de fraudă informatică? Sau cele două infracțiuni pot fi reținute în concurs ideal? Practica judiciară nu este unitară în acest sens, nici măcar practica Înaltei Curți de Casație și Justiție. Astfel dacă într-o speță, ICCJ a reținut, într-o situație asemănătoare cu cea prezentată, că se reține concurs ideal de infracțiuni între infracțiunea de înșelăciune și fraudă informatică, într-o altă speță aceasta a reținut că „vânzările fictive de bunuri on-line, realizate prin intermediul platformelor specializate în tranzacționarea de bunuri on-line, care cauzează un prejudiciu persoanelor vătămate induse în eroare prin introducerea de date informatice cu privire la existența bunurilor și determinate, în acest mod, să plătească prețul unor bunuri inexistente, întrunesc elementele constitutive ale infracțiunii de fraudă informatică”. Răspunzând la întrebările enunțate, considerăm că cea din urmă orientare a ICCJ, este și cea corectă, principalul considerent fiind acela că frauda informatică este considerată varianta informatică a infracțiunii de înșelăciune. Rezultă astfel, că art. 249 din C.pen. ce incriminează frauda informatică, constituie o normă specială ce reglementează un alt tip de înșelăciune, săvârșită în mediul virtual și, că având în vedere regula specialia generalibus derogant, apare justa concluzie conform căreia frauda informatică nu poate fi reținută în concurs ideal cu infracțiunea de înșelăciune.
De asemenea, se poate observa, că infracțiunea de fraudă informatică se află în strânsă legătură și cu infracțiunile de fals informatic (art. 325 C.pen.), accesul ilegal la un sistem informatic (art.360 C.pen.), alterarea integrității datelor informatice (art.362 C.pen.), precum și cu infracțiunea de perturbare a funcționării sistemelor informatice (art. 363 C.pen.).
Într-o primă situație, observăm că infracțiunile de fraudă informatică și infracțiunea de fals informatic prezintă un conținut similar, în literatura de specialitate considerându-se că între aceste infracțiuni există un concurs de calificări, făcându-se aplicarea principiului specialia generalibus derogant. Astfel, atât frauda cât și falsul informatic pot fi săvârșite prin introducerea, modificarea sau ștergerea datelor informatice ori prin restricționarea accesului la aceste date.
Prin introducerea de date informatice într-un sistem înțelegem acțiunea de inserare a acestor date într-un sistem informatic, pentru prima dată, folosind un dispozitiv periferic de intrare (tastatura, mouse, etc) sau un dispozitiv periferic mixt (unitate USB flash). Pentru a se realiza introducerea de date informatice într-un sistem este necesar ca aceste date să nu mai existe în respectivul sistem.
Modificarea datelor informatice constă în acțiunea de ștergere parțială sau în acțiunea de introducere parțială de date informatice, ducând la apariția unor noi date informatice, diferite de cele inițiale.
Prin ștergere , în literatura de specialitate, se înțelege acțiunea de eliminare, în tot sau în parte, a reprezentării binare a datelor informatice vizate (secvențe logice formate din caracterele „0” și „1” corespunzătoare stărilor „magnetizat” și „demagnetizat”) din mediile de stocare de tip compact-disk, hard-disk, etc. ceea ce poate conduce la dispariția respectivelor date.
Restricționarea accesului la datele informatice se poate face prin două modalități: una software și una harware. În cazul restricționării accesului la datelor informatice efectuată prin modalitatea hardware, făptuitorul acționează fizic asupra unui sistem informatic, de exemplu prin înlăturarea unui hard-disk dintr-un server, fără a afecta funcționalitatea acestuia din urmă.
Restricționarea software se poate face, la rândul ei, prin diferite modalități. Astfel, făptuitorul poate acționa asupra unor fișiere, fără a le șterge, făcându-le inaccesibile sau modificându-le astfel încât acestea să nu se mai regăsească în forma inițială. Spre exemplu, făptuitorul prin intermediul atacurilor informatice asupra unui site Web, poate modifica conținutul acestuia sau poate bloca întregul site, făcându-l indisponibil proprietarului.
Ca element de tipicitate a fraudei informatice avem o modalitate distinctă de comitere a infracțiunii și anume prin împiedicarea în orice mod a funcționării unui sistem informatic, precum și așa cum s-a apreciat în literatura de specialitate, necesitatea creării unei pagube unei persoane. Este criticabilă această opinie, conform căreia scopul infracțiunii de fals informatic, „în vederea producerii unei consecințe juridice” reprezintă cadrul general iar scopul infracțiunii de fraudă informatică, „de a obține un beneficiu material pentru sine sau pentru altul” reprezintă cadrul special. Astfel așa cum s-a afirmat în literatura de specialitate beneficiul material prevăzut de dispozițiile art.249 C.pen. nu implică producerea unor consecințe juridice. Prin urmare, scopul de a obține un beneficiu material pentru sine sau pentru altul trebuie să cuprindă urmărirea producerii unei consecințe juridice, altfel nu se poate aprecia că cel dintâi are un caracter special față de celălalt. Pe cale de consecință rezultă, așadar, că nu ne aflăm în prezența unui concurs de calificări, dimpotrivă fiind posibilă existența unui concurs de infracțiuni între frauda și falsul informatic. În acest sens, au fost condamnați inculpații pentru infracțiunile de fraudă informatică, acces ilegal la un sistem informatic, transfer neautorizat de date informatice, operațiuni ilegale cu dispozitive sau programe informatice și fals informatic, toate aflate în concurs. Pentru a dispune astfel, instanța a reținut că inculpații au creat o pagină falsă ce semăna cu portalul Orange și pe care o postau pe rețeaua de socializare Facebook, în scopul de a induce în eroare victimele ce aveau reprezentarea că anunțurile și postările aparțineau Orange România. Astfel, utilizatorii , încercau să se autentifice în pagina falsă creată de inculpați prin introducerea datelor confidențiale de acces. Inculpații foloseau aceste date pentru reîncărcarea unor cartele prepaid ale unor persoane care plăteau numerar aceste reîncărcări.
Așadar, în cocluzie, infracțiunea de fraudă informatică și fals informatic nu se află într-o relație de tip normă specială-normă generală, ele având aplicabilitate distinctă.
Într-o altă situație se poate observa legătura dintre infracțiunea de fraudă informatică și infracțiunile de acces ilegal la un sistem informatic, alterarea integrității datelor informatice și perturbarea funcționării sistemelor informatice.
Astfel, infracțiunea de fraudă informatică, în modalitatea săvârșirii prin introducerea, modificarea sau ștergerea de date informatice, restricționarea accesului la aceste date nu se poate comite decât prin accesul la un sistem informatic. Pentru a constitui infracțiune, accesul la un sistem informatic trebuie să se realizeze fără drept. Prin sintagma „fără drept”, în sensul art. 35 alin. (2) din Legea 161/2003, înțelegem acea persoană care acționează fără a fi autorizată, în temeiul legii sau al unui contract sau care depășește limitele autorizării sau nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.
Rezultă că în situația în care frauda informatică se realizează prin accesul fără drept la un sistem informatic se va putea reține concurs real de infracțiuni între infracțiunile prevăzute în art. 249 și 360.
În art.8 al Convenției de la Budapesta, se prevede, având caracter de îndrumare, că frauda informatică se realizează prin introducerea, alterarea, stergerea sau suprimarea datelor informatice fără drept. Dacă legiuitorul ar fi ales să incrimineze frauda înformatică în această varianta prin comiterea modalităților de săvârșire a infracțiunii fără drept, aceasta din urmă ar fi absorbit în conținutul său infracțiunile de acces ilegal la un sistem informatic, alterarea integrității datelor informatice și perturbarea funcționării sistemelor informatice, care pot fi comise în aceleași modalități ca și frauda informatică. Așadar diferența esențială între aceste infracțiuni, o constituie lipsa autorizării făptuitorului, în temeiul legii sau al unui contract, fapt ce face posibil reținerea acestor infracțiuni în concurs.
Deși este evidentă rațiunea legiuitorului de a elimina sintagma „fără drept” din conținutul infracțiunii de fraudă informatică, acest lucru prezintă și unele neajunsuri. Astfel avem în vedere situația operatorului, furnizor de servicii de internet, care restricționează în baza contractului încheiat cu utilizatorul, accesul la serviciul de internet pe motivul neachitării de către utilizator a facturilor. Așadar, operatorul de servicii de furnizare a internetului, restricționează accesul la datele informatice, în baza contractului încheiat, urmărind astfel obținerea unui beneficiu material, prin obligarea utilizatorului să plătească facturile restante sau prin realocarea benzii de internet altor utilizatori. Pe cale de consecință rezultă faptul că operatorul săvârșește infracțiunea de fraudă informatică, deși a acționat în baza unui drept legal, conform contractului încheiat între el și utilizator. Pentru eliminarea acestor carențe legislative propunem, de lege ferenda, completarea sintagmei „în scopul de a obține un folos material pentru sine sau pentru altul” cu termenul de „injust” rezultând astfel „în scopul de a obține un folos material injust pentru sine sau pentru altul” fapt ce ar atrage eliminarea acestor neajunsuri legislative.
Într-o ultimă situație se impune analizarea legăturii dintre infracțiunea de operațiuni ilegale cu dispozitive sau programe informatice, prevăzută în art. 365 C.pen., și celelalte infracțiuni informatice. Așa cum se știe actele preparatorii sunt anterioare începerii hotărârii de a săvârși o infracțiune și, de regulă, nu sunt incriminate. În mod excepțional legiuitorul a incriminat actele preparatorii ale infracțiunilor informatice în art. 365 C.pen. În literatura de specialitate s-a apreciat că rațiunea incriminării acestei infracțiuni rezidă în gravitatea acesteia, legiuitorul dorind sancționarea acestor fapte, chiar dacă nu a fost începută executarea.
În doctrină s-a arătat că ori de câte se constată săvârșirea vreuneia dintre modalitățile infracțiuni de operațiuni ilegale cu dispozitive sau programe informatice urmată de săvârșirea vreuneia dintre infracțiunile de acces ilegal la un sistem informatic, interceptarea ilegală a unei transmisii de date informatice, alterarea integrității datelor informatice, perturbarea funcționării sistemelor informatice precum și transferul neautorizat de date informatice se va reține un concurs de infracțiuni între acestea.
În final, ajungem la concluzia potrivit căreia fenomenul infracțiunilor informatice este în continuă schimbare iar o dată cu practica instanțelor de judecată vor apărea și alte probleme de interpretare a acestor infracțiuni.
Prevenirea criminalității informatice
Considerații generale
Dezvoltarea din ultimii ani a Internetului, a făcut ca acesta să facă parte din viața noastră cotidiană. Într-un studiu recent, se arată, că 80% din tinerii europeni folosesc zilnic internetul și rețelele sociale ( cea mai mare rețea socială este Facebook), iar valoarea schimburilor comerciale efectuate pe internet, atinge anual valoarea de 8 trilioane USD. Într-un raport al companiei Symantec, furnizor al soluției de securitate Norton, se arată că zilnic se produc aproximativ un milion de infracțiuni informatice. Același raport ne arată faptul că anual se produc prejudicii, în medie de 380 miliarde de dolari, acest lucru făcând ca activitatea de criminalitate informatică să fie mai profitabilă decât comerțul drogurilor. Așa cum am arătat în capitolul precedent, activitățile infracționale sunt vaste, singura limită fiind imaginația făptuitorului. Astfel, aceste infracțiuni au un prejudiciu ce pornește de la sume foarte mici de ordinul unității sutimilor (în cazul fraudelor „salam”) și poate ajunge până la sute de milioane de euro.
Niciun tip de criminalitate nu este atât de neîngrădită precum criminalitatea informatică, datorită caracterului său transfrontalier. Astfel este necesară o coordonare internațională cu privire la adoptarea legislației în domeniul infracțiunilor informatice. La nivel european au fost făcute demersuri în acest sens, fapt ce a culminat cu apariția Convenției privind criminalitatea informatică a Consiliului Europei, semnată la Budapesta la 23 Noiembrie 2001. Această convenție este principalul instrument juridic prin care s-a concretizat lupta împotriva criminalității informatice.
Într-o comunicare a Comisiei europene către Consiliu și Parlamentul European se arată că în ciuda progreselor făcute în combaterea criminalității informatice, există în continuare obstacole granițele, comunicarea insuficientă între autoritățile internaționale, dificultăți tehnice în localizarea autorilor infracțiunilor, lipsa personalului calificat, etc. Toate aceste demersuri au dus la apariția Centrului european de combatere a criminalității informatice (EC3), ce are ca principale obiective combaterea activiților ilegale desfășurate de grupările de criminalitate informatică, în special atacurile asupra instituțiilor bancare și asupra altor activități financiare online, asupra exploatării sexuale online a copiilor și a acelor infracțiuni care afectează infrastructura critică și sistemele de informare din UE.
Și România s-a implicat în combaterea criminalității informatice. Astfel prin Legea 64/2004, România a ratificat Convenția de la Budapesta. Țara noastră și-a îndeplinit obligațiile asumate în Convenție prin adoptarea Legii 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției ce prevede în Titlul III Prevenirea și combaterea criminalității informatice „măsuri specifice de prevenire, descoperire și sancționare a infracțiunilor săvârșite prin intermediul sistemelor informatice, asigurându-se respectarea drepturilor omului și protecția datelor personale”.
De la 1 Februarie 2014, România a preluat infracțiunile informatice prevăzute de legea 161/2003 în Codul Penal.
Măsuri de prevenire a criminalității informatice
Măsurile de protecție au rolul de a proteja sistemele informatice și datele informatice contra amenințărilor. Protecția datelor informatice apare ca o condiție esențială și este realizată printr-o serie de măsuri.
Principalele măsuri de protecție sunt: controalele tehnice și de securitate, sistemele de control biometrice, parolele, folosirea cardurilor cu cip, sistemele de detectare a intruziunilor, programele antivirus, criptografia, firewall-ul.
Controalele tehnice și de securitate reprezintă o cerință esențială pentru protejarea împotriva amenințărilor informatice și vizează protejarea sistemului informatic împotriva eventualelor atacuri, asigurarea funcționării optime a sistemlor informatice, efectuarea unor copii de rezervă (back-up). Controalele au fost clasificate în literatura de specialiate în controale preventive și controale detective. În mod evident, controalele preventive urmăresc evitarea producerii de daune sistemului informatic pe când controalele detective încearcă să determine natura atacurilor suferite de sistemul informatic și dacă datele informatice au survenit modificări.
În practică, nu există criterii fixe după care să se determine dacă un sistem informatic beneficiază de o securitate informatică adecvată. Astfel controalele au în vedere, de regulă, controlarea fișierelor-jurnal, controlarea activitității utilizatorilor și intervalele de timp în care aceștia au accesat sistemele informatice, etc.
Sistemele de control biometrice sunt acele sisteme care determină caracteristicile fiziologice sau comportamentale ale unei persoane pentru determinarea sau verificarea identității. Astfel un sistem biometric va include toate componentele necesare (hardware, software și de rețea) necesare activității de determinare a identității și de autentificare folosind date biometrice. Astfel este recomandată utilizarea sistemelor biometrice, pentru asigurarea securității și confidențialității sistemului informatic precum și a datelor informatice.
De curând și telefoanele inteligente au adoptat tehnologiile biometrice. Astfel, pentru deblocarea smartphone-ului utilizatorul poate opta pentru sistemul de securitate biometrică, bazat pe impresiunile digitale ale acestuia. De asemnea există și dispozitive care utilizează sisteme biometrice bazate pe identificarea caracteristicilor retinei și irisului utilizatorului sau care se bazează pe analiza tonalităților din voce a utilizatorului.
Parolele reprezintă, poate, cele mai importante măsuri de securitate. Astfel o parolă reprezintă un șir de caractere format din cifre, litere și caractere alfanumerice. Alegerea parolei, prezintă oarecare dificultate. Astfel, o parolă scurtă va fi ușor de „spart” dar are avantajul că va fi ușor de memorat, pe când o parolă lungă va fi mult mai greu de „spart”, dar va fi greu de memorat. De, regulă, se recomandă alegerea unei parole de 8 caractere, formată din cifre, litere majuscule și minuscule și caractere speciale, de exemplu: „pA$$Wo7d”.
Cardurile bancare cu cip prezintă mai multe avantaje. Astfel acestea oferă utilizatorului mai multă securitate și rapiditate. Astfel aceste carduri folosesc măsuri de securitate, pe lângă securitatea clasică asigurată prin codul PIN (Personal Identification Number), cum ar fi „3D Secure”. Această măsură de securitate, permite utilizatorului să folosească la plata tranzacțiilor online, mai mari de 100 lei, o parolă.
O dată cu apariția cardurilor bancare de tip „contactless” au apărut și alte pericole. Spre exemplu, făptuitorul, cu ajutorul unui dispozitiv, poate „scana” cardurile din imediata apropiere, însușindu-și astfel datele. Pentru protejarea împotriva acesui tip de infracțiune, este necesar un portofel ecranat, în care să depozităm cardul contactless, care nu permite undelor radio să pătrundă.
Cu ajutorul sistemelor de detectare a intruziunilor pot fi detectate în timp util orice agresiuni împotriva sistemului informatic. Aceste sisteme monitorizează în pemanență activitatea și traficul de date al sistemului informatic, detectând anomalii și comportamente suspecte, fiind capabile să genereze alarme prin care să avertizeze utilizatorul despre anomaliile și comportamentele neobișnuite detectate în sistem.
Antivirusul este un program informatic care se instalează pe sistemul informatic și asigură protecție împotriva virușilor, troienilor, viermilor și împotriva altor amenințări informatice. Antivirusul poate detecta un program informatic dăunător în două modalități: detecția pe bază de semnătură și detecția pe bază de comportament. În cazul detecției pe bază de semnătură, antivirusul compară semnătura unui program cu semnăturile programelor cunoscute ca fiind dăunătoare, din baza sa de date. Dacă acestea coincid antivirusul va semnaliza utilizatorului acest lucru printr-o alarmă.
În cazul detecției pe bază de comportament, programul antivirus analizează comportamentul tuturor programelor, iar pe cele care au un comportament suspect, în sensul că se multiplică, consumă multe resurse, ocupă multă memorie, le izolează într-o zonă denumită „carantină”, unde pe baza unei analize euharistice determină dacă respectivul program este sau nu dăunător.
Pe lângă faza de detecție, antivirusul mai are două funcții la fel de importante: eliminarea programelor dăunătoare și repararea fișierelor corupte. În cadrul funcției de eliminare a programelor dăunătoare, antivirusul după detectarea acestor programe, va emite o alarmă în care va recomanda ștergerea respectivului program. În cazul funcției de reparare, antivirusul, în măsura în care este posibil, va elimina doar programul dăunător, reparând fișierul-gazdă, aducându-l la starea inițială.
Criptografia reprezintă știința care se ocupă cu securizarea informației, cu autentificarea și restricționarea accesului la un sistem informatic. Deoarece Internetul este o rețea liberă, transmisia de date informatice fiind neprotejată, s-a constituit preocuparea pentru criptografiei, în special pentru limitarea interceptării datelor informatice. Astfel, dacă făptuitorul interceptează o transmisie de date, ce folosește un altgoritm de criptare, este foarte posibil, ca acesta să nu poată să o folosească, până nu reușește să o decripteze. Rezultă așadar, că una din principalele metode pentru asigurarea confidențialității, integrității și securității datelor informatice, o reprezintă criptarea.
Firewall-ul cunoscut și sub denumirea de „paravan de protecție” reprezintă un program sau un ansamblu de programe informatice, setate în acest fel încât să intermedieze și să filtreze traficul de date între diferite sisteme informatice.
Organisme cu rol în combaterea criminalității informatice
Lupta împotriva criminalității informatice a condus la apariția unor organisme cu rol în combaterea acestui tip de criminalitate. Astfel în România în cadrul Direcției de Combatere a Criminalității Organizate (structură a Inspectoratului General al Poliției Române) ia naștere, în anul 2003, Serviciul de Combatere a Criminalității Informatice (S.C.C.I.).
S.C.C.I. are atribuții și competență în prevenirea, investigarea și cercetarea criminalității informatice. Din nefericire, acest serviciu, nu are suficientă implicarea în aspectele privind criminalitatea informatică. Astfel, ultimele comunicate de presă, cu privire la activitatea sa, sunt eliberate în anul 2011.
O altă structură în România ce are competențe în combaterea criminalității informatice este D.I.I.C.O.T. ( Direcția de investigare a infracțiunilor de criminalitate organizată și terorism). Conform ultimului raport de activitate, în anul 2015, D.I.I.C.O.T. a soluționat 2677 cauze ce au avut ca obiect infracțiuni informatice, reprezentând o creștere cu 28,83% față de anul 2014.
La nivel european, cel mai important organism cu rol în combaterea criminalității informatice, este Centrul European pentru combaterea criminalității informatice (European Cybercrime Centre- EC3) ce a luat naștere în anul 2013 și care funcționează în cadrul Europol. EC3 are o bogată activitate în lupta împotriva criminalității informatice asistând statele membre ale Uniunii Europene în combaterea infracțiunilor informatice.
La nivel internațional menționăm Asociația pentru investigarea criminalității de înaltă tehnologie (High Tehnology Crime Investigation Association- HTCIA), Centrul de Excelență în Combaterea și Cooperarea Criminalității Informatice (Cooperative Cyber Defence Centre of Excellence- CCDCOE) ce funcționează în cadrul NATO, etc.
Concluzii și propuneri de lege ferenda
Legislația română în materia criminalității informatice, având de pe acum o vechime considerabilă, apreciez, că este departe de a fi perfectă.Totuși, având în vedere evoluția sistemului legislativ, cu privire la acest domeniu, nu există motive să nu credem că legiuitorul se va adapta evoluției și rigorilor la care este este supusă criminalitatea informatică.
Totodată, având în vedere faptul că legislația din acest domeniu este perfectibilă, pot trage concluzia că avem un sistem legislativ coerent, în deplin acord și conform legislației europene privind criminalitatea informatică, care își poate îndeplini scopul, realizându-se protecția valorilor sociale ocrotite de acest domeniu.
Așa cum am afirmat, sistemul legislativ din domeniul criminalității informatice este unul perfectibil, există loc de îmbunătățiri. Astfel, în cele ce urmează, voi prezenta propuneri de lege ferenda, în speranța că acestea vor fi adoptate.
a) O primă propunere, de lege ferenda, constă în înlocuirea sintagmei „ștergerea de date informatice” din cuprinsul articolului 249 din Codul Penal privind infracțiunea de fraudă informatică, cu sintagma „suprimarea de date informatice”. Propun această modificare, deoarece sintagma „suprimarea datelor informatice” nu lasă loc de interpretări, prin aceasta înțelegându-se ștergerea definitivă a acestor date.
b) O altă propunere, de lege ferenda, este legată de infracțiunea de acceptare a operațiunilor financiare efectuate în mod fraudulos prevăzută de art. 251 din Codul Penal. Astfel, propun, de lege ferenda, incriminarea culpei în cazul acestei infracțiuni. Avem în vedere, de exemplu, situația în care comerciantul acceptă un card falsificat sau clonat, dar care fără să îl verifice, deși avea această obligație, sau din neatenție, acceptă operațiunea financiară. Pe cale de consecință se impune incriminarea culpei. Astfel, acceptatorul operațiunii financiare, va verifica autenticitatea instrumentului de plată, prevenind astfel realizarea prejudicierii titularului instrumentului de plată falsificat sau clonat.
c) În prezent, simpla montare la bancomat a unui dispozitiv de copiere a datelor cardului, constituie conform recursului în interesul legii soluționat prin decizia nr. 15 din 14 Octombrie 2013, infracțiunea de operațiuni ilegale cu dispozitive sau programe informatice, în varianta prevăzută în art. 365 alin.(2) din Codul Penal. Or, montarea unui asemenea dispozitiv nu este asimilată deținerii sale, fiind vorba despre acțiuni diferite, cu un grad diferit de pericol social. Pe cale de consecință, propun de lege ferenda, adoptarea unui text de lege care să incrimineze, în mod distinct aceste fapte. Spre exemplu, recomand adoptarea următorului text:
„ (1) Obținerea, în mod fraudulos și fără drept, a datelor inscripționate pe un dispozitiv electronic de plată se pedepsește cu închisoare de la 1 la 5 ani.
(2) Tentativa se pedepsește.”
d) O altă situație apare în cazul infracțiunii de fraudă informatică prevăzută în art. 249 C.Pen. Astfel, în actuala reglementare, se permite tragerea la răspundere, a unei persoane care acționează pentru îndestularea unei creanțe sau îndeplinirea unui drept legal. Spre exemplu, operatorul de servicii de furnizare a internetului, restricționează accesul la datele informatice, în baza contractului încheiat, urmărind astfel obținerea unui beneficiu material, prin obligarea utilizatorului să plătească facturile restante sau prin realocarea benzii de internet altor utilizatori. Pe cale de consecință rezultă faptul că operatorul săvârșește infracțiunea de fraudă informatică, deși a acționat în baza unui drept legal, conform contractului încheiat între el și utilizator. Se impune deci, adoptarea unui nou text, de exemplu: „ Introducerea, modificarea sau ștergerea de date informatice, restricționarea accesului la aceste date ori împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un folos material injust pentru sine sau pentru altul.”
Bibliografie
Cursuri, tratate, monografii
Amza, T.; Amza, C. – Criminalitatea informatică, Ed. Lumina Lex, București, 2003.
Basarab, Matei – Drept penal. Partea generală, ed. a IV-a revăzută și adăugită, Ed. Lumina Lex, București, 2002.
Boroi, Alexandru – Drept penal: partea specială: conform Noului Cod Penal, ed. C.H. Beck, București, 2011.
Dima, Traian – Drept penal: partea generală, Ed. Hamangiu, București, 2014.
Dobrinoiu, Maxim – Infracțiuni în domeniul informatic, Editura C.H. Beck, București, 2006.
Gorunescu, Mirela – Infracțiuni prevăzute în legi speciale, Ed. Hamangiu, București, 2012.
Pascu I.; Dobrinoiu V.; Hotca M.A. – Noul Cod Penal Comentat. Vol. 2:Partea Specială, Ed. Universul Juridic, București, 2014.
Trancă A.; Trancă D.C.; – Infacțiunile informatice în noul Cod Penal, Editura Universul Juridic, București, 2014.
Trancă, Anamaria -Infracțiuni informatice: Practică judiciară, Editura Hamangiu, București, 2011.
Udroiu, Mihail – Drept penal. Partea generală. Partea specială, Ed. C.H. Beck, București, 2012.
Vasiu, Ioana – Prevenirea criminalității informatice, Ed. Hamangiu, București, 2006.
Zainea, M.; Simion, R. – Infracțiuni în domeniul informatic:culegere de practică judiciară, ed. C.H. Beck, București, 2009
Articole
Cotimm, Armando – Cybercrime, Cyberterrorism and Jurisdiction: An Analysis of Article 22 of the COE Convention on Cybercrime disponibil la adresa http://www.ejls.eu/6/78UK.htm.
Dinuică, D.; Guiu, M.K. – Considerații privind frauda informatică, disponibil la adresa www.universuljuridic.ro/consideratii-privind-frauda-informatica/.
Maxim, Andrei – Falsul și frauda informatică, în revista „Caiete de drept penal”, nr.3/2011.
Stancu, E.; Dragomir, C.; – Revista “Dreptul”, nr. 10/2009.
Zlati, George – Unele aspecte în legătură cu infracțiunile informatice din perspectiva legislației în vigoare, precum și a noului Cod penal, în revista „Dreptul” nr.10/2012.
Site-uri web
www.belgium.be/fr/justice/securite/criminalite/criminalite_informatique/fraude_informatique/.
www.efrauda.ro
www.europol.europa.eu
www.diicot.ro
www.ijettcs.org/Volume3Issue6/IJETTCS-2014-12-08-96.pdf
www.jurisprudenta.org
www.riti-internews.ro
www.rolii.ro
www.scj.ro
www.sri.ro/romania-a-fost-tinta-unor-atacuri-cibernetice.html
www.wikipedia.ro
Legislație
Constituția României
Legea nr. 286/2009 privind Codul Penal, publicată în Monitorul Oficial nr. 520 din 24 iulie 2009, actualizată și republicată.
Legea nr. 135 din 1 iulie 2010 privind Codul de procedură penală, publicată în Monitorul Oficial nr. 486 din 15 iulie 2010, actualizată.
Legea nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnitatilor publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției publicată în Monitorul Oficial nr. 279 din 21 aprilie 2003 actualizată la data de 1 ianuarie 2016.
Convenția Consiliului Europei privind criminalitatea informatică ratificată de România prin Legea nr. 64/2004 privind criminalitatea informatică.
Legea nr. 365/2002 privind comerțul electronic publicată în Monitorul Oficial al României, Partea I, nr. 483 din 5 iulie 2002, actualizată și republicată.
Legea nr. 89 din 10 Aprilie 2006 privind Codul vamal al României, actualizată.
Legea nr. 678 din 21 Noiembrie 2001 privind prevenirea și combaterea traficului de persoane, actualizată.
Regulament BNR nr. 6 din 11/10/2006 privind emiterea și utilizarea instrumentelor de plată electronică și relațiile dintre participanții la tranzacțiile cu aceste instrumente, publicat în Monitorul Oficial, Partea I nr. 927 din 15/11/2006 .
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Infractiunile Informatice In Actualul Cod Penal (ID: 116730)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.